甲骨文称 Java 序列化的存在是个错误，计划删除

来源：达尔文 ， www.oschina.net/news/96511/oracle-plans-to-dump-risky-java-serialization?origin=wechat

甲骨文计划从 Java 中剔除序列化功能，因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化，该功能用于将对象编码为字节流...Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说：“删除序列化是一个长期目标，并且是 Project Amber 的一部分，它专注于面向生产力的 Java 语言功能。”

为了替换当前的序列化技术，一旦记录，会在平台中放置一个小的序列化框架，支持 Java 版本的数据类。该框架可以支持记录图形，开发人员可以插入他们选择的序列化引擎，支持 JSON 或 XML 等格式，从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。

序列化在 1997 年是一个“可怕的错误”，Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化。序列化总体而言存在巨大安全风险，但Reinhold表示其在简单用例当中的出色易用性仍具有一定吸引力。

最近，Java 刚刚迎来了过滤功能，Reinhold指出，甲骨文公司目前收到大量运行在网络之上的应用服务器的报告，并发现其中相当一部分在未受保护的端口上使用序列化流。正是为了解决这一问题，过滤功能才应运而生。