Oracle将Java序列化称为“一个可怕的错误”,计划将其转储

一位匿名读者引用了InfoWorld: Oracle 计划从Java中删除其序列化功能,这在安全性方面一直是一个棘手的问题。也称为Java对象序列化,该功能用于将对象编码为字节流...删除序列化是一个长期目标,是Project Amber的一部分,Project Amber专注于面向生产力的Java语言功能,Mark Reinhold说。 ,Oracle平台组的首席架构师。 要替换当前的序列化技术,只要支持Java版本的数据类记录,就会在平台中放置一个小的序列化框架。该框架可以支持记录图,开发人员可以插入他们选择的序列化引擎,支持JSON或XML等格式,以安全的方式实现记录的序列化。但Reinhold还不能说哪个版本的Java具有记录功能。Reinhold说,序列化是1997年制造的一个“可怕的错误”。他估计至少有三分之一 - 甚至一半的Java漏洞都涉及序列化。Reinhold表示,整体序列化很脆弱,但在简单的使用案例中具有易于使用的吸引力。

  • 发表于:
  • 原文链接http://developers.slashdot.org/story/18/05/26/0520227/oracle-calls-java-serialization-a-horrible-mistake-plans-to-dump-it

扫码关注云+社区

领取腾讯云代金券