[zurück][ältere Posting][neuere Posting] Freitag, 26 Februar 2016 | Blog: 15 | No: 34967
Benutzt hier jemand Jenkins?
Update: Dieser Kommentar kam dazu per E-Mail rein:
Ganz oben wird da im verlinkten Artikel von Kryo geredet. Wenn man will, deserialisiert Kryo nur registrierte Typen, ganz anders als der böse Standard-Java-ObjectInputStream.
Ich bin mir ziemlich sicher, dass der Artikelschreiber das auch weiß und nur einen auf großen Zampano machen will:
Er erklärt wie toll man generische Container-Klassen dazu benutzen kann unerwartete Objekte in den Deserialisierungsvorgang reinzuschmuggeln.
Dafür schreibt er einen Unittest, der das mit basalen Datentypen macht, die bei Kryo per Default registriert werden. So zeigt der Test zwar, dass man generische Container-Objekte kompromittieren kann, aber eben nur mit registrierten Datentypen, was natürlich verschwiegen wird.
In folgenden Tests registriert er dann bei Kryo problematische Klassen zum Serialisieren/Deserialisieren und stellt es dann als überraschend hin, was man damit alles böses anstellen kann. Dass man diese Klassen gar nicht Deserialisieren kann (sofern sie nicht registriert sind), auch nicht mir generischen Container-Klassen, wird geflissentlich verschwiegen und auch nicht in den Tests abgeprüft.
Der Autor scheint mir daher ein ziemlicher Schaumschläger zu sein! Ich würde die Artikel dieses Blogs mit äußerster Skepsis betrachten.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
