甲骨文称 Java 序列化的存在是个错误,计划删除

综合编程 2018-05-28

甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流...Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。”

为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”,Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化,序列化总体上是脆弱的,但具有在简单用例中易于使用的特性。

编译自: InfoWorld

开源中国

责编内容by:开源中国 (源链)。感谢您的支持!

您可能感兴趣的

如何获取泛型类的子类中声明的泛型类型... 标题好绕啊,还是直接用代码说话比较好。 1、泛型父类Parent源码 package com.xxx.xxx.util;/** * 父类 * @author 北北 * @date 2...
How (not) to approach persistence testing in Java ... Testing a Persistence Layer The first thing we need to test is persisting User instances to a dat...
Java分布式锁之数据库实现 之前的文章《Java分布式锁实现》中列举了分布式锁的3种实现方式,分别是基于数据库实现,基于缓存实现和基于zookeeper实现。三种实现方式各有可取之处,本篇文章就详细讲解一下Java分布式锁之基...
Meet Retrofit2 In this post I will introduce to you a recently released version of a well known library for consum...
海量日志中统计次数最多的100个IP 由于标题长度限制,原题是这样:某系统QPS100万,每十分钟统计一下请求次数最多的100个IP。ip请求写到日志的话,其实就是超大文件中统计top k问题。10分钟6亿条记录,大约是10G级别,所以对...