Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od Kolemjdoucí - Napsal jsem "Pokud někdo uživateli umožňuje přímo měnit...

  • 9. 11. 2015 10:20

    Kolemjdoucí (neregistrovaný) ---.tunnel.tserv27.prg1.ipv6.he.net

    Napsal jsem "Pokud někdo uživateli umožňuje přímo měnit serializovaná data tak je to chyba v návrhu" a tím "přímo" jsem myslel měnit rovnou ty serializované bajty, takže třeba změnit třídu a podobně, to je základní princip této "chyby". Měnit data která uživatelem měnitelná být musí samozřejmě není nic špatného, ale všechna data od uživatele musí jít skrz patřičné aplikační kontroly a ten serializovaný formát pak musí být striktně interní, na něj uživatel nesmí sahat protože by tím obešel ty všechny kontroly.