Llegamos a ustedes gracias a:



Noticias

Oracle planea descartar la riesgosa serialización de Java

[29/05/2018] Oracle planea dejar de lado en Java su característica de serialización que ha sido una espina en el pie cuando se trata de seguridad. La característica, también conocida como serialización de objetos, se utiliza para codificar objetos en flujos de bytes. La serialización, utilizada para la persistencia ligera y la comunicación mediante sockets o Java RMI, también soporta la reconstrucción de un gráfico de objeto desde un flujo.

Retirar la serialización es un objetivo de largo plazo y es parte de Project Amber, que se concentra en las características del lenguaje Java orientadas a la productividad, afirma Mark Reinhold, arquitecto en jefe del grupo de plataforma Java de Oracle.

Para reemplazar la actual tecnología de serialización, se colocaría en la plataforma un pequeño marco de serialización una vez que se pueda soportar registros -la versión en Java de las clases de datos-. El registro podría soportar un gráfico de registros y los desarrolladores podrían conectar su motor de serialización favorito, que soporte formatos como JSON o XML, permitiendo así la serialización de los registros de una forma segura. Pero Reinhold aún no puede decir qué versión de Java tendrá la capacidad de registros.

La serialización fue un "horrible error cometido en 1997, señala Reinhold. Él estima que al menos un tercio -quizás incluso la mitad- de las vulnerabilidades de Java han involucrado la serialización. La serialización en general es precaria, pero tiene el atractivo de ser fácil de usar en casos de uso simples, afirma Reinhold.

Recientemente, se añadió una función de filtrado para Java de tal forma que, si se utiliza la serialización en una red y se tienen que aceptar flujos de datos de serialización no confiables, hay una manera para filtrar qué clases se pueden mencionar, para proporcionar un mecanismo de defensa contra las debilidades de la seguridad de la serialización. Reinhold afirma que Oracle ha recibido muchos informes sobre servidores de aplicaciones que se ejecutan en la red con puertos desprotegidos tomando flujos de serialización, que es la razón por la cual se desarrolló la capacidad de filtrado.