Марк Реинхольд (Mark Reinhold), главный архитектор платформы Java, считает, что добавление в 1997 году в язык Java поддержки сериализации объектов было ужасной ошибкой, которую приходится расхлёбывать в виде всё вновь и вновь всплывающих критических уязвимостей в различных продуктах на Java. По мнению Реинхольда, от трети до половины всех уязвимостей в Java-проектах связаны с сериализацией (кодированием объектов в последовательность байт для их сохранения или передачи), которая в силу простоты применения для решения многих задач провоцирует разработчиков на необдуманное использование.
Из соображений безопасности в долгосрочной перспективе Oracle планирует прекратить встроенную поддержку сериализации, предложив в качестве замены защищённый компактный фреймворк. Во фреймворке будет обеспечена возможность безопасной сериализации Java-версии классов данных и графов записей с возможностью манипуляции сериализированными данными в форматах JSON и XML. План будет реализован в рамках проекта Amber, сфокусированного на продвижении новых возможностей языка.
Источник: https://www.opennet.ru/opennews/art.shtml?num=48666
(opennet.ru, мини-новости)
[ON] Oracle планирует убрать из Java встроенную поддержку сериализации
Модератор: Модераторы разделов
-
serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: [ON] Oracle планирует убрать из Java встроенную поддержку сериализации
Когда уже Java совсем уберут... =)