甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流...Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。”
为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”,Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化,序列化总体上是脆弱的,但具有在简单用例中易于使用的特性。,更多内容请关注本次专辑…… 周一的时候,Mozilla 在新版 Firefox 中启用了“Web 组件”技术,旨在让网站的构建变得更加轻松。对于普通用户来说,这一技术层面的变化不会给我们造成任何影响。但是对于复杂网站的构建者,这项技术会让他们欣喜不已,因为它可以带来更少的问题、减少加载时间、以及更迅速的改进。需要指出的是,Google Chrome 团队早在五年前就开始推动“Web 组件”技术了。
在谷歌之后,苹果 Safari 在 2016 / 2017 年作出了跟进。至于微软,暂不清楚该公司给 Edge 浏览器定下了什么计划。在此之前,浏览器制造商们只是惯例地接受了‘影式文档对象模型’(Shadow DOM)和‘自定义元素’(Custom Elememts)两种。 前者允许隔离代码块,从而不对网站程序的其它部分造成干扰;后者则允许程序员自定义创建其网站的基础。Firefox 支持自定义元素,但周一的时候,影式文档对象模型支持也悄然落户测试通道的‘每夜构建版’(Nightly Build)。 对于简单的网站来说,动用 Web 组件显然属于‘杀鸡用牛刀’。但是那些先进而复杂的网站将最为受益,比如 YouTube 站点早就启用了对 Web Components 的支持。如果你访问一个不支持 Web 组件特性的网站,那体验可能变慢或受限。 Mozilla 首席产品官 Mark Mayo 表示:“Web 开发变得超级困难,是时候让它变得更加简单,所以我们应该看到更好、更迅捷的网页”。借助 Web 组件,开发人员可以创建网站的构建模块,然后广泛而重复地使用它们、且无需担心会导致阻止使用该网站的问题。更多内容,大家可以关注本次专辑…… 针对 Python 编程语言的新功能提议之一是希望为运行时添加“透明度”,并让安全和审计工具查看 Python 何时可能运行潜在危险的操作。在当前的形式下,Python 不允许安全工具查看运行时正在执行的操作。 除非这些操作之一产生可能引起警报的特定错误,否则安全和审计工具就会视而不见,攻击者可能正在使用 Python 在系统上执行恶意操作。
但在 Python Enhancement Proposal 551(PEP-551)中,Python 核心开发人员 Steve Dower 已经提出了两个新的 API,这些 API 将使安全工具能够在 Python 执行潜在危险操作时进行检测。第一个是 Audit Hook API,它可以引发关于某些类型的 Python 操作的警告消息。 “这些操作通常在 Python 运行时或标准库的深处,比如动态代码编译,模块导入,DNS 解析或使用某些模块,如 ctypes,”Dower 说。安全或审计工具可能会使用这些消息作为可疑事件的警告标志,并在真正造成危害之前标记或阻止 Python 进程继续。详细内容请关注本次专辑…… |
