原标题:甲骨文计划放弃Java物件序列化功能
示意图,与新闻事件无关。
图片来源:Oracle
甲骨文Java平台的架构长Mark△Reinhold近日向InfoWorld透露,为了安全起见,准备放弃Java的物件序列化(Serialization)功能。
序列化可将物件转换成资料流,以让它方便传递或是储存于资料库中, 之后只要将它反序列化(Deserialized)就能以原来的形式使用。序列化及反序列化本身并无问题,主要的问题来自于所序列化的来源并不安全时,曾有研究人员展示将恶意的资料上传至热门的Java应用,该资料会被序列化并存放于记忆体中,可是当该资料被反序列化时,它便能够执行额外的恶意程式。
Reinhold表示,Java在1997年支援序列化功能是个可怕的错误,估计可能有1/3到一半的Java漏洞与该功能有关,它虽然容易使用,但整体而言却是脆弱的。
因此,甲骨文正准备终止Java直接支援序列化的能力,取而代之的是利用外挂系统来支援序列化的操作,Reinhold只说一旦Java开始支援records,就会弃守序列化功能,但并未说明它会在哪个版本实现。
相关:
甲骨文推出开发工具APEX 18.1版,高阶应用功能直选即用,减少撰写程式码负担
最近甲骨文强化开发工具的动作频传,前阵子释出自家开发者云端服务,开始支援Kubernetes及Java△9开发后端应用外,JavaScript视觉化开发工具VBCS也能开始微调程式码,给予开发者更高自由度。而近日该公司的开发工具A
号称世上最严格的资料保护令GDPR已经在上周5月25日上路,各国大型企业不无严阵以待,就怕触犯该天条,吃上巨额罚款。而使用云端服务的跨国企业,更得要注意,自家服务是否有符合各地法遵要求。而因应GDPR上路,微软近
AR?VR双周报第10期:Google ARCore开发工具推出新板本,新增多人VR协作体验功能
ARCore△1.2新版推出3大新功能,首先是名为Cloud△Anchors的新功能, 让手机AR应用也开始可以支援多人AR协作体验;Sceneform工具SDK,让Java开发人员更容易利用ARCore建立整套AR环境。Augmented△Images则是一个AR特
Chef自动化布建服务Habitat功能再升级,锁定云端原生应用
图片来源: Chef 这周是组态工具厂商Chef的年度大会,在ChefCon中,该公司年也加足火力,释出了不少新产品功能。像是前阵子该公司的自动化布建服务Habitat△Builder,就宣布释出新功能,加强该工具与本地环境整合外,
最近,美团摊上了一件大事,很多用户的个人信息被美团骑手在网上销售牟利,这样给美团带来很大得到损失。现在美团回应隐私质疑,将投入1亿元推广号码保护功能,并在6月起将默认隐藏用户真实电话号码,切实履行社会责