Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od sj - Třeba cookies? Občas v cookies jsou serializované celé...

  • 10. 11. 2015 3:16

    sj (neregistrovaný) 94.230.156.---

    Třeba cookies? Občas v cookies jsou serializované celé třídy. Takže běžně uživatel to nemusí zadávat, ale útočník může.

    Tady sice diskuze není tak příšerná jako na slashdotu s jejich rezolutním "to nejde", ale stejně je smutné o kolik lepší by i tady mohla být diskuze kdyby každý přečetl alespoň článek a pak třeba i z něj linkovanou slideshow Marshalling Pickles kde se právě o serializavi v cookiech (ať už z Jávy, PHP, Ruby či čeho) mluví.

    A to že tu někdo říká že to je špatný návrh když někdy používá serializavi na komunikaci je możná sice pravda, ale přesto ten problém nelze ignorovat (ve stylu " kdo to napsal tak blbě tak si to zaslouží a uživatelé tak blbě napsaných aplikací taky). Navíc množství reálných aplikací které komunikují např. přes RPC a posílají si serializovaná data, případně tak mají vytvořen formát pro ukládání dat na disk apod. prostě není malé.