Java序列化的状态( 三 )
其他大部分与序列号有关的安全研究 都是基于Chris Frohoff、Gabriel Lawrence和Alvaro Munoz的工作成果 。
序列化在哪里?如何知道我的应用程序是否用到了序列化?
要移除序列化 , 需要从java.io包开始 , 这个包是java.base模块的一部分 。 最常见的使用场景是:
实现Serializable接口和(可选)serialversionuid长整型字段 。
使用ObjectInputStream或ObjectOutputStream 。
使用 严重依赖序列化 的库 , 例如:Xstream、Kryo、BlazeDS和 大多数应用程序服务器 。
使用这些方法的开发人员应考虑使用其他存储和读回数据的替代方法 。 Eishay Smith发布了 几个不同序列化库的性能指标 。 在评估性能时 , 需要在基准度量指标中包含安全方面的考虑 。 默认的Java序列化“更快”一些 , 但漏洞也会以同样的速度找上门来 。
我们该如何降低序列化缺陷的影响?
项目Amber 包含了一个关于将序列化API隔离出来的讨论 。 我们的想法是将序列化从java.base移动到单独的模块 , 这样应用程序就可以完全移除它 。 在确定JDK 11功能集 时并没有针对该提议得出任何结果 , 但可能会在未来的Java版本中继续进行讨论 。
推荐阅读
- kpl|赖神撞车双职业,赛后见到ID很唏嘘!KPL第一射手如今怎么这状态
- 斗鱼|斗鱼PEL:顾居居决赛圈不容小觑?TEC更是状态拉满,两鸡晋级
- 第五人格|第五人格IVL:新一周比赛XROCK对战ZQ,哪支队伍率先调整状态
- estar|eStar零封GK找回状态,清融表现可圈可点,有望突破上限
- ag战队|AG状态回暖肉眼可见,最初指挥能力碾压猫神,粉丝呼吁首发锁死
- edg战队|就目前GG和C9的状态来看,EDG进决赛是有机会的,但是不会很顺
- edg战队|恭喜EDG晋级决赛!EDG 3-2 GEN,全员状态拉满
- 狼队|狼队成败在今屿?易峥被妖刀打成eStar薄弱点!Fly状态终于回来了
- ag战队|AG五人组锁死,久诚、最初双子星闪耀赛场,一诺、初晨状态被激活
- gen.g战队|Clid状态火热,神僧降临,帮助GEN.G将比赛带入天王山!