Перейти к содержанию

Рекомендуемые сообщения

Oracle намерена прекратить поддержку сериализации/десериализации данных в языке Java. Сериализация представляет собой процесс преобразования объекта в поток байтов для передачи по сети или сохранения в базе данных. Сохраненный объект затем снова преобразовывается в первоначальный вид (процесс десериализации). Сам по себе процесс не представляет никакой угрозы, а опасность возникает, когда приложение работает с вводимыми пользователями непроверенными данными.

Из-за удобства сериализацию поддерживают многие популярные языки программирования, однако именно в Java она представляет собой наибольшую головную боль из-за бесчисленного числа уязвимостей. Как отметил главный архитектор платформы Java Марк Рейнхолд, реализация в Java поддержки сериализации в 1997 году была «ужасной ошибкой».

По словам Рейнхолда, в настоящее время команда Java работает над тем, чтобы убрать функцию из языка. Тем не менее, разработчики по-прежнему могут при необходимости выполнять операции по сериализации с помощью системы плагинов, доступной через новый фреймворк.

Как пояснил Рейнхолд, никакой определенной даты отказа от сериализации или версии Java, где она больше не будет поддерживаться, не назначено. А пока что компании или руководители проектов, не желающие, чтобы разработчики или вредоносные модули вызывали функцию сериализации/десериализации, могут использовать специальный фильтр, добавленный в Java в 2016 году для блокировки обоих процессов.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...