Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od Kolemjdoucí - Chyba je v tom že to serializační API...

  • 9. 11. 2015 15:14

    Kolemjdoucí (neregistrovaný) ---.tunnel.tserv27.prg1.ipv6.he.net

    Chyba je v tom že to serializační API které je v Javě (které používá metodu readResolve) je k tomuto nevhodné protože neposkytuje potřebné validační mechanismy a navíc neplatí to co píšete "Jsou to prostě jen data, žádný kód" - viz popis té zranitelnosti. Samozřejmě není nic špatného na tom když klient posílá na server serializovaná data, jen je k tomu potřebné použít patřičný serializační mechanismus na straně klienta a validace na straně serveru. Běžně se používají v kombinaci s HTTP např. parametry v URL s metodou GET, nebo nějak naplněné tělo s metodou POST (např. JSON nebo XML), ale kdo tam nacpe tu Javovskou serializaci tak to holt dělá špatně a nadávat za všechny problémy může jen sám sobě protože ten nástroj použil nevhodným způsobem.