甲骨文计划放弃Java物件序列化功能

甲骨文Java平台的架构长Mark Reinhold近日向InfoWorld透露，为了安全起见，准备放弃Java的物件序列化（Serialization）功能。

序列化可将物件转换成资料流，以让它方便传递或是储存于数据库中， 之后只要将它反序列化（Deserialized）就能以原来的形式使用。序列化及反序列化本身并无问题，主要的问题来自于所序列化的来源并不安全时，曾有研究人员展示将恶意的资料上传至热门的Java应用，该资料会被序列化并存放于内存中，可是当该资料被反序列化时，它便能够执行额外的恶意程式。

Reinhold表示，Java在1997年支援序列化功能是个可怕的错误，估计可能有1/3到一半的Java漏洞与该功能有关，它虽然容易使用，但整体而言却是脆弱的。

因此，甲骨文正准备终止Java直接支援序列化的能力，取而代之的是利用外挂系统来支援序列化的操作，Reinhold只说一旦Java开始支援records，就会弃守序列化功能，但并未说明它会在哪个版本实现。