Come se il problema fosse solo delle librerie core Java?
https://bbossola.wordpress.com/2018/04/14/remotely-execute-java-code-using-json/
È solo pubblicità, a mio parere.
Ciao,
Bruno
On Fri, 1 Jun 2018, 15:10 [email protected] [it-torino-java-jug], <
[email protected]> wrote:
>
>
> Ciao a tutti, news dal mondo Oracle
>
>
> Tale scelta deriva principalmente da questioni di sicurezza, infatti le
> problematiche che interessano questa feature sono davvero molte e spesso
> sono classificate come gravi. La Java object serialization è una
> funzionalità utilizzata per l'encoding object negli streams di byte, viene
> impiegata per la persistenza tramite socket oppure con Java RMI. La
> serializzazione, inoltre. consente di ricostruire un object graph dallo
> stream.
>
> Rimuovere la serialization è in realtà un obbiettivo a lungo termine,
> parte di un progetto chiamato *Amber* che si focalizza sull'incremento
> della produttività. Per sopperire alla futura mancanza dell'attuale
> funzionalità di serializzazione verrà implementato un piccolo *serialization
> framework* all'interno della piattaforma Java, in modo da garantire il
> supporto alle applicazioni che ne fanno uso. Gli sviluppatori potranno poi
> integrare il framwork in un proprio serialization engine e si potrà operare
> senza problemi tramite i formati *JSON* o *XML*.
>
> Mark Reinhold, chief architect del Java platform group per Oracle, ha
> dichiarato che la serialization inserita in Java nel 1997 è stato un grave
> errore, si stima infatti che un terzo delle vulnerabilità di sicurezza di
> Java riguardi proprio tale funzionalità. Recentemente in Java è stato
> implementato il supporto al *filtering* in modo da fornire un meccanismo
> di difesa contro le vulnerabilità della serialization, ma anche in questo
> caso possiamo parlare soltanto di una mitigazione del problema.
>
> Tuttavia il team di Oracle non ha ancora fornito una data o una release
> precisa per la dismissione di tale funzionalità. I developer sono quindi
> ancora al lavoro sul nuovo framework, l'obbiettivo dell'azienda dovrebbe
> essere quello di migliorare in modo sensibile la sicurezza di Java, senza
> però stravolgere il suo ecosistema. Quindi si starebbe puntando ad un
> processo di aggiornamento controllato che consente di effettuare una
> transizione quanto più indolore possibile.
>
>
> https://www.infoworld.com/article/3275924/java/oracle-plans-to-dump-risky-java-serialization.html
>
> Oracle ha iniziato un lungo processo di rinnovamento di Java, partendo
> dall'accelerazione del suo ciclo di sviluppo e quindi puntando su release
> più frequenti con più feature e maggiori update di sicurezza. In questi
> giorni il team del gruppo ha reso nota inoltre l'intenzione di rimuovere il
> supporto alla Java object serialization.
>
>
>
>
