博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Java的序列化特性将要退出历史舞台了
阅读量:6469 次
发布时间:2019-06-23

本文共 716 字,大约阅读时间需要 2 分钟。

甲骨文公司正计划将安全方面的一大棘手难题对象序列化功能从Java当中剔除出去。这项功能亦被称为Java对象序列化,主要用于将对象编码为字节流形式。除了用于轻量化持久性与通过套接字或Java RMI进行通信之外,序列化功能还支持从字节流中重构对象图。

\\

甲骨文公司Java平台部门首席架构师Mark Reinhold表示,去除序列化机制是一项长期目标,亦是其专注于面向Java语言功能生产力强化目标的Amber项目的重要组成部分。

\\

为了替换现有序列化技术,甲骨文方面将在相关记录(即Java版本的数据类)获得支持之后,向Java平台中添加一套小型序列化框架。该框架能够支持记录图,而开发人员亦可接入自己选择的序列化引擎、支持JSON或XML等格式,并以安全方式实现记录序列化功能。不过Reinhold目前还无法确定记录功能将正式登陆Java的哪个版本。

\\

根据Reinhold的说法,序列化功能堪称诞生于1997年的一个“可怕错误”。他估计,至少有三分之一甚至是半数Java安全漏洞都与序列化机制有关。序列化总体而言存在巨大安全风险,但Reinhold表示其在简单用例当中的出色易用性仍具有一定吸引力。

\\

最近,Java刚刚迎来了过滤功能,因此如果开发者必须在网络之上使用序列化功能且愿意接受不可信序列化数据流,则可借此选择需要过滤掉的类以实现针对序列化安全弱点的防御机制。Reinhold指出,甲骨文公司目前收到大量运行在网络之上的应用服务器的报告,并发现其中相当一部分在未受保护的端口上使用序列化流。正是为了解决这一问题,过滤功能才应运而生。

\\

最后,推荐一个极客时间,用讲故事的方式帮你学习和理解网络协议。

转载地址:http://nzjko.baihongyu.com/

你可能感兴趣的文章
IntelliJ IDEA快捷键
查看>>
【iOS-cocos2d-X 游戏开发之十三】cocos2dx通过Jni调用Android的Java层代码(下)
查看>>
MongoDB的基础使用
查看>>
进程间通信——命名管道
查看>>
LINUX 重定向的知识
查看>>
ssh登陆不需要密码
查看>>
ARP
查看>>
java mkdir()和mkdirs()区别
查看>>
桌面支持--excel自动换行
查看>>
虚拟化--003 vcac licence -成功案例
查看>>
windows server 2003各版本及2008各版本的最大识别内存大小
查看>>
OSChina 周六乱弹 ——揭秘后羿怎么死的
查看>>
centos查找未挂载磁盘格式化并挂载
查看>>
IT人员的职业生涯规划
查看>>
sorry,you must have a tty to run sudo
查看>>
ios开发中使用正则表达式识别处理字符串中的URL
查看>>
AI会让我们失业吗?
查看>>
项目中的积累,及常见小问题
查看>>
Python类型转换、数值操作(收藏)
查看>>
Resin配置
查看>>