Filter Incoming Serialization Data

gamzatti
Vote 0 Votes

JEP 290: Filter Incoming Serialization Data

Java9から、 ObjectInputFilter という新しいAPIを使って、セキュアにデシリアライズを行う仕組みが提供されるそうです。


- ちらっと読んだ感じでは、デシリアライズ対象オブジェクトが参照するオブジェクトの数や、
  深さ(ネスト)を制限する仕組みっぽい
-ObjectInputStream#resolveClass()のように、デシリアライズするクラスを制限することも出来るっぽいが、
  "Non-Goals"に特定のクラスに対するポリシーを制限するものではないというような記載もあり、
   コンセプトが不明。
- システムプロパティとプログラム個別、どちらでも設定出来る
- これらの機能はJava8以前のバージョンにもバックポートされる予定とのこと。
  →現段階では最新のJava8にもバックポートされていないようです。

時間が出来たら試してみよう。 なお、Java9は今年の7月にリリースされるようです。

No TrackBacks

TrackBack URL: http://www.reverse-edge.com/cgi-bin/mt/mt-tb.cgi/23

Leave a comment

About this Entry

This page contains a single entry by gamzatti published on April 4, 2017 11:41 PM.

Processes of suffering or struggling for something are never be vain even if they make no outputs. was the previous entry in this blog.

Technical repot of WannaCry is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.