Oracle estudia un importante cambio para Java
El objeto, para que un programa en Java pueda convertirlo en un conjunto de bytes, tiene que ser serializable.
Según explica Mark Reinhold, arquitecto jefe de la plataforma Java en Oracle, su equipo trabaja en la actualidad para eliminar la compatibilidad de serialización del objeto principal. Eso sí, indica que pretenden proporcionar a los desarrolladores un sistema complementario que admita operaciones de serialización a través de un nuevo marco.
Quieren, por un lado, mejorar la seguridad al retirar la serialización de datos del objeto principal en Java, pero a su vez dar una solución a los desarrolladores.
De momento no hay fecha establecida para que se confirme el momento de retirar la serialización, según indican desde la propia compañía. Sin embargo las empresas y clientes que quieran evitar esto, ya pueden hacerlo mediante un filtro de serialización. Esta opción se agregó en Java en 2016.
Importantes plataformas afectadas por este problema
Los ataques a través de operaciones de serialización y deserialización han estado presentes desde hace años. Sin embargo se convirtieron en un problema para todos a principios de 2015 cuando dos investigadores, Chre Frohoff y Gabriel Lawrence, encontraron un defecto de deserialización en la Apache Commons Collection, una aplicación de Java muy popular.
Realizaron una serie de investigaciones y demostraron que un hipotético atacante podría cargar datos maliciosos dentro de aplicaciones en Java populares. Este hecho afectó mucho a Java en 2016, ya que afectó a importantes plataformas como PayPal, Cisco, Red Hat o Adobe. Todos ellos, no obstante, sacaron de inmediato parches de seguridad.
Estos problemas relacionados con la serialización y deserialización han estado muy presentes en Oracle. En enero de este año sacaron una serie de actualizaciones de seguridad. El 28,5% estaban relacionadas con estas vulnerabilidades. Un problema bastante significativo y que empuja a Oracle a buscar soluciones adicionales.
En definitiva, Oracle planea abordar el problema y aumentar así la seguridad. Eso sí, como hemos mencionado todavía queda tiempo hasta que lleven a cabo su intención.
Oracle es partner educativo de Fundación Proydesa y si querés aprender Java podés hacerlo con nosotros. Más info