Марк Реінхольд (Mark Reinhold), головний архітектор платформи Java, вважає, що впровадження в 1997 році в Java підтримки серіалізації об'єктів було помилкою. На його думку, від третини до половини всіх вразливостей в Java-проектах пов'язані з серіалізацією, яка через свою простоту застосування для вирішення багатьох завдань провокує розробників до бездумного застосування.
З міркувань безпеки в довгостроковій перспективі Oracle планує припинити вбудовану підтримку серіалізації, запропонувавши для цього завдання захищений компактний фреймворк. У ньому буде забезпечена можливість безпечної серіалізації Java-версії класів даних і графів записів з можливістю маніпуляції серіалізованими даними в форматах JSON і XML. Реалізація планується в рамках проекту Amber, сфокусованого на просуванні нових можливостей мови.
Ще немає коментарів