gamzatti: April 2017 Archives

JEP 290: Filter Incoming Serialization Data

Java9から、 ObjectInputFilter という新しいAPIを使って、セキュアにデシリアライズを行う仕組みが提供されるそうです。


- ちらっと読んだ感じでは、デシリアライズ対象オブジェクトが参照するオブジェクトの数や、
  深さ(ネスト)を制限する仕組みっぽい
-ObjectInputStream#resolveClass()のように、デシリアライズするクラスを制限することも出来るっぽいが、
  "Non-Goals"に特定のクラスに対するポリシーを制限するものではないというような記載もあり、
   コンセプトが不明。
- システムプロパティとプログラム個別、どちらでも設定出来る
- これらの機能はJava8以前のバージョンにもバックポートされる予定とのこと。
  →現段階では最新のJava8にもバックポートされていないようです。

時間が出来たら試してみよう。 なお、Java9は今年の7月にリリースされるようです。

2年間の出向先での任期が終わった。

仕事内容も環境も大きく変わったので、最初は悩み、格闘する毎日。

これまでも割と頻繁に仕事が変わっていたので、変化には慣れていたはずだったけど、

自分で感じている以上に、プレッシャーを感じていたのだと思う。

挫折しかけた時もあったけど、ここで逃げたら11年のキャリアが終わってしまうと思った。

時間がかかっても地道にやるしかないと思って、先が見えないながら模索しつつ少しづつ進んでいくうちに、

いつの間にか自然に頭と手が動くようになって、仕事が楽しい、活躍できていると感じるようになった。

周りの人と打ち解けてから本音で話してみると、みんな私と同じように悩んだり焦っていたことも分かって、

少し安心すると同時に、一見余裕に見える人でも、みんな裏では悩みながら必死で頑張っているのだなぁと。

「成果が出なくても、悩んだり失敗したりした過程は決して無駄にはならない」

一緒に頑張ってきた仲間が教えてくれた言葉がとても印象的で、それは真実だと思った。

About this Archive

This page is an archive of recent entries written by gamzatti in April 2017.

gamzatti: March 2017 is the previous archive.

gamzatti: May 2017 is the next archive.

Find recent content on the main index or look in the archives to find all content.