April 2017 Archives

JEP 290: Filter Incoming Serialization Data

Java9から、 ObjectInputFilter という新しいAPIを使って、セキュアにデシリアライズを行う仕組みが提供されるそうです。


- ちらっと読んだ感じでは、デシリアライズ対象オブジェクトが参照するオブジェクトの数や、
  深さ(ネスト)を制限する仕組みっぽい
-ObjectInputStream#resolveClass()のように、デシリアライズするクラスを制限することも出来るっぽいが、
  "Non-Goals"に特定のクラスに対するポリシーを制限するものではないというような記載もあり、
   コンセプトが不明。
- システムプロパティとプログラム個別、どちらでも設定出来る
- これらの機能はJava8以前のバージョンにもバックポートされる予定とのこと。
  →現段階では最新のJava8にもバックポートされていないようです。

時間が出来たら試してみよう。 なお、Java9は今年の7月にリリースされるようです。

2年間の出向先での任期が終わった。

仕事内容も環境も大きく変わったので、最初は悩み、格闘する毎日。

これまでも割と頻繁に仕事が変わっていたので、変化には慣れていたはずだったけど、

自分で感じている以上に、プレッシャーを感じていたのだと思う。

挫折しかけた時もあったけど、ここで逃げたら11年のキャリアが終わってしまうと思った。

時間がかかっても地道にやるしかないと思って、先が見えないながら模索しつつ少しづつ進んでいくうちに、

いつの間にか自然に頭と手が動くようになって、仕事が楽しい、活躍できていると感じるようになった。

周りの人と打ち解けてから本音で話してみると、みんな私と同じように悩んだり焦っていたことも分かって、

少し安心すると同時に、一見余裕に見える人でも、みんな裏では悩みながら必死で頑張っているのだなぁと。

「成果が出なくても、悩んだり失敗したりした過程は決して無駄にはならない」

一緒に頑張ってきた仲間が教えてくれた言葉がとても印象的で、それは真実だと思った。

About this Archive

This page is an archive of entries from April 2017 listed from newest to oldest.

March 2017 is the previous archive.

May 2017 is the next archive.

Find recent content on the main index or look in the archives to find all content.