Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od L. - Trvám na tom, že pokud někdo ukládá java-serializované...

  • 10. 11. 2015 9:22

    L. (neregistrovaný) 193.165.169.---

    Trvám na tom, že pokud někdo ukládá java-serializované objekty do cookies, tak je to broken by design. Už proto, že se tato data musí posílat s každým requestem.

    Aplikaci, která ukládala data na disk Java serializací jsem psal, ale tam uživatel četl pouze jím vytvořená data.

    Popravdě, detaily Java deserializace jsem se nikdy nezabýval, ale tak nějak intuitivně jsem vždycky bral, že to není moc bezpečné a dá se s tím napáchat pěkná paseka.