Ne arayalım?

ARAMIZA KATILIN

BİZE ULAŞIN

Adres:

E-posta:

host/bin/bilisimlife.dll

iletisim@bilisimlife.net

Oracle Riskli Java Serialization Özelliğini Kaldırmayı Planlıyor 18311831 GÖRÜNTÜLEME

1997'den korkunç bir hata, nesneleri kodlamak için Java nesnesi serileştirme özelliği ciddi güvenlik sorunları içeriyor. Oracle, güvenlik konusunda yanda bir diken olan serileştirme özelliğini Java'dan kaldırmayı planlıyor. Java nesne serileştirme olarak da bilinen bu özellik, nesnelerin bayt akışlarına kodlanması için kullanılır. Soket veya Java RMI ile hafif kalıcılık ve iletişim için kullanılan seri hale getirme, bir akıştan bir nesne grafiğinin yeniden yapılandırılmasını da destekler.

Serileştirmeyi kaldırmak uzun vadeli bir hedeftir ve üretkenliğe yönelik Java dili özelliklerine odaklanan Project Amber'in parçası, Oracle Java platform grubunun baş mimarı Mark Reinhold.

Geçerli serileştirme teknolojisini değiştirmek için, kayıtlara girdikten sonra platformda küçük bir serileştirme çerçevesi yerleştirilecek, veri sınıflarının Java sürümü desteklenecektir. Çerçeve, bir kayıt grafiğini destekleyebilir ve geliştiriciler, seçtikleri bir seri hale getirme motorunu, JSON veya XML gibi formatları destekleyerek, kayıtların güvenli bir şekilde serileştirilmesini mümkün kılabilir. Ancak Reinhold, Java üzerinde hangi sürümünün kayıt yeteneğine sahip olacağını henüz söyleyemez.

Reinhold, 1997 yılında seri hale getirmenin korkunç bir hata olduğunu söyledi. Java güvenlik açıklarının en az üçte birinin, hatta belki de yarısının serileştirmeyi içerdiğini tahmin ediyor. Serileştirme genel olarak gevrektir, ancak basit kullanım durumlarında kullanımı kolay olma cazibesini korur.

Son zamanlarda, Java içinde bir filtreleme özelliği eklenmiştir, böylece bir ağda serileştirme kullanılıyorsa ve güvenilir olmayan serileştirme veri akışları kabul edilmeli, serileştirmenin güvenlik zayıflıklarına karşı bir savunma mekanizması sağlamak için hangi sınıflardan bahsedilebileceğini filtrelemenin bir yolu vardır. Reinhold, Oracle üzerinde seri hale getirme akışlarını kullanan korumasız bağlantı noktalarıyla ağda çalışan uygulama sunucuları hakkında birçok rapor aldığını ve bu nedenle filtreleme yeteneğinin geliştirildiğini söylüyor.

BİR YORUM YAZIN


BENZER HABERLER

21.5.2011

Firefox 5 Beta 1 Çıktı!4700

8.6.2011

Chrome 12 Çıktı!3807