https://www.opennet.me/openforum/vsluhforumID3/114416.html Марк Реинхольд (Mark Reinhold (https://mreinhold.org/)), главный архитектор платформы Java, считает (https://www.infoworld.com/article/3275924/java/oracle-plans-to-dump-risky-java-serialization.html), что добавление в 1997 году в язык Java поддержки сериализации объектов было ужасной ошибкой, которую приходится расхлёбывать в виде всё вновь и вновь всплывающих критических уязвимостей (https://www.opennet.ru/opennews/art.shtml?num=47139) в различных продуктах на Java. По мнению Реинхольда от трети до половины всех уязвимостей в Java-проектах связаны с сериализацией, которая в силу простоты применения для решения многих задач провоцирует разработчиков на необдуманное использование.<br><br><br>Из соображений безопасности в долгосрочной перспективе Oracle планирует прекратить встроенную поддержку сериализации (кодирование объектов в последовательность байт для их сохранения или передачи), предложив в качестве замены компактный фреймворк. Во фреймворке будет обеспечена возможность безопасной сериализации Java-версии клас https://www.opennet.me/openforum/vsluhforumID3/114416.html#56 Wed, 30 May 2018 10:34:24 GMT &gt; Например в Java, где при десериализации хештаблицы вызывается метод hash() пользовательских <br>&gt; объектов, где может быть произвольный код.<br><br>В этом виновата не стандартная сериализация, а реализация класса HashMap. Там есть метод readObject, котором написана своя процедура десериализации, точно некоторые действия после стандартной десериализации<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#55 Wed, 30 May 2018 10:28:02 GMT Короче мы облажались и ничего поправить немОгем.<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#54 Wed, 30 May 2018 10:24:31 GMT Вы неправы!<br><br>Вы не можете сериализовать интерфейс. Сериализуется объект, реализующий интерфейс. В поток записывается полное название класса этого объекта и данные полей. Если поле - это ссылка на другой объект, то описанная процедура выполняется и для него. Если поле ссылается на уже записанный в поток объект (циклическая ссылка), то пишется информация об этом.<br><br>При десериализции объекты восстанавливаются по полному названию классов. При этом классы эти могут быть совершенно другими (с другим набором методов и даже с реализацией совершенно других интерфейсов).<br><br>Таки образом, поведение не сериализуется! Проверено на практике<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#53 Tue, 29 May 2018 15:41:45 GMT &gt; "Oracle планирует убрать из Java встроенную поддержку Java" <br><br>я тоже сначала так и прочитал -- и ппц обрадовался же! :-)<br><br>а когда посмотрел повнимательнее увидил сирилизацию<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#52 Tue, 29 May 2018 09:25:38 GMT Хаха. Ничего "безопаснее", чем <br><br>fopen();<br>fwrite();<br>fclose();<br><br>так и не смогли придумать ;)<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#51 Tue, 29 May 2018 09:25:10 GMT А ЭЦП никак сюда не прикрутить?<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#50 Tue, 29 May 2018 06:25:51 GMT Ты можешь сериализовать любую имплементацию интерфейса. Система, на которой производится десериализация, может вообще не знать ничего об этой имплементации. По сути, сериализованный объект - это данные плюс поведение. Если нужны только данные, то есть "универсальные конвертеры" в JSON, XML и любые другие форматы. Если же нужно принимать именно реализацию - то обычно пользуются стандартной сериализацией. Это удобно. Но нужно понимать, что либо ты организовываешь безопасность получения этого кода, гарантируя, что посторонний код не может быть загружен. Либо обвешиваешься политиками безопасности.<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#49 Mon, 28 May 2018 14:15:55 GMT Если граф с циклами, будет циклить. Граф != дерево.<br> https://www.opennet.me/openforum/vsluhforumID3/114416.html#48 Mon, 28 May 2018 13:47:01 GMT JSON прекрасно поддерживает циклические связи (введением внутреннего ID). Мне другое интересно: как вообще посторонняя функциональность может быть "небезопасной для языка"? Хоть бы одну "уязвимость" написали! Тот же JSON - он существует. И работает. И ни одного репорта "это опасно!". В чём соль??<br>