Oracle dropper udskældt serialisering i Java

Måden, som Java serialiserer data på, droppes, da metoden er ansvarlig for op til halvdelen af alle sikkerhedshuller i programmer, som er skrevet i sproget.

Oracle har besluttet sig for endelig at gøre op med den udskældte måde, platformen serialiserer data på.

Både Java-guruer og sikkerhedseksperter har kritiseret metoden siden 2011, og ifølge Mark Reinhold, chefarkitekten hos Java-platformgruppen hos Oracle, er serialisering i Java ansvarlig for helt op til halvdelen af alle sikkerhedshuller i Java-programmer.

»Serialiseringen var en skrækkelig fejl, der blev gjort i 1997,« siger han i et interview i InfoWorld.

Han estimerer, at serialisering er ansvarlig for mellem en tredjedel og halvdelen af alle sikkerhedshuller i Java.

Læs også: Java-guru: Moderne Java er fuld af problemer

For mange angrebspunkter

Serialisering og deserialisering er processerne, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen.

Problemet i Javas måde at håndtere det på er, at der simpelthen bare er for mange angrebspunkter at gå til for hackerne.

Der skal nemlig skrives kode til hvert enkelt objekt, som indlæser og udlæser objektet.

Oracle har forsøgt at imødekomme problemet med et filter, der kan blokere serialiseringsfunktionerne i Java for udefrakommende kode, men vil alligevel droppe serialisering helt.

Der er dog ikke nævnt, hvornår metoden bliver udfaset, eller hvilke versioner af sproget det vil gælde for.

Læs også: Ah var-behar? Her er nyhederne i Java 10

Udviklere kan stadig få adgang via plugin

Mark Reinhold fortæller i interviewet, at udviklere efter behov kan få adgang til metoden via et plugin, men det vil næppe komme på tale for sikkerhedsorienterede udviklere.

Ud af de 237 sårbarheder i Java, som blev lukket af Oracle i januar, adresserede omkring 29 procent af dem nemlig usikre serialiserings-/deserialiseringsoperationer.

En enkelt fejl i Apache Struts, der kører på Java, estimeres at have ramt 65 procent af virksomhederne i Fortune 100, og Java-guruen Joshua Bloch, der har været med til at udvikle sproget, har italesat problemet siden 2011.

Læs også: Fejl i udbredt Java-bibliotek bag amerikansk kæmpelæk

Deltag i konkurrence om to billetter til Java-udvikler konferencen JDK.IO, som afholdes af Javagruppen. Deltag senest torsdag d. 7. juni kl. 12. Vinderne for direkte besked.

Arrangementet den 11. og 12. juni byder på oplæg og keynotes fra bl.a. David Delabassee, såkaldt Software Evangelist hos Oracle, der vil fortælle om JEE, og hvad open source partnerskabet med Eclipse Foundation betyder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere