オブジェクト直列化の目標は、できる限りシンプルでありながら、既知のセキュリティの制約と一貫性があることです。 システムがシンプルであるほど、安全である可能性はより高くなります。以下は、オブジェクト直列化で使用されているセキュリティ方式の概要です。
-
java.io.Serializable または java.io.Externalizable インタフェースを実装しているオブジェクトだけが直列化される。データの重要性に応じて特定のフィールドの直列化を回避する機構が提供されている
- 直列化パッケージを使用して、オブジェクトの作成または初期化を再実行することはできない。バイトストリームを直列化復元すると、新しいオブジェクトが作成されるが、既存のオブジェクトの内容が上書きされたり変更されたりすることはない
- オブジェクトを直列化復元すると、リモートソースからコードのダウンロードが開始される。 ただし、ダウンロードされたコードは、JavaTM コードの通常の検査およびセキュリティ機構によって制限される。直列化復元の副作用によってロードされるクラスは、その他の方法でロードされる場合と同じように保護される
目次 | 前の項目 | 次の項目
Copyright © 1997-2001 Sun Microsystems, Inc. All Rights Reserved.