CambioDigital-OL

0

Oracle planea descartar la riesgosa serialización de Java

oracle_cloudOracle planea dejar de lado en Java su característica de serialización que ha sido una espina en el pie cuando se trata de seguridad. La característica, también conocida como serialización de objetos, se utiliza para codificar objetos en flujos de bytes. La serialización, utilizada para la persistencia ligera y la comunicación mediante sockets o Java RMI, también soporta la reconstrucción de un gráfico de objeto desde un flujo.

Retirar la serialización es un objetivo de largo plazo y es parte de Project Amber, que se concentra en las características del lenguaje Java orientadas a la productividad, afirma Mark Reinhold, arquitecto en jefe del grupo de plataforma Java de Oracle.

Para reemplazar la actual tecnología de serialización, se colocaría en la plataforma un pequeño marco de serialización una vez que se pueda soportar registros -la versión en Java de las clases de datos-. El registro podría soportar un gráfico de registros y los desarrolladores podrían conectar su motor de serialización favorito, que soporte formatos como JSON o XML, permitiendo así la serialización de los registros de una forma segura. Pero Reinhold aún no puede decir qué versión de Java tendrá la capacidad de registros.

La serialización fue un “horrible error” cometido en 1997, señala Reinhold. Él estima que al menos un tercio -quizás incluso la mitad- de las vulnerabilidades de Java han involucrado la serialización. La serialización en general es precaria, pero tiene el atractivo de ser fácil de usar en casos de uso simples, afirma Reinhold.

Recientemente, se añadió una función de filtrado para Java de tal forma que, si se utiliza la serialización en una red y se tienen que aceptar flujos de datos de serialización no confiables, hay una manera para filtrar qué clases se pueden mencionar, para proporcionar un mecanismo de defensa contra las debilidades de la seguridad de la serialización. Reinhold afirma que Oracle ha recibido muchos informes sobre servidores de aplicaciones que se ejecutan en la red con puertos desprotegidos tomando flujos de serialización, que es la razón por la cual se desarrolló la capacidad de filtrado.

Paul Krill, InfoWorld

Ordenado por: Apps Tags: ,

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB