Wie Oracles Java-Chefarchitekt Mark Reinhold gegenüber 'InfoWorld' erklärte, plant Oracle mittelfristig die Unterstützung der Funktion "Java Object Serialization" ab einer der kommenden Versionen abzustellen. Wann beziehungsweise mit welcher Version dies geschehen könnte, konnte er aber noch nicht sagen.

Die Einführung des Serialization-Features im Jahr 1997 sei ein "schrecklicher Fehler" gewesen, so Reinhold. Mindestens ein Drittel, vielleicht sogar die Hälfte aller bisher in Java gefundenen Sicherheitslücken hätten mit Serialization zu tun.

Mit der Serialization werden in Java Objekte aus dem Memory in diverse binäre oder Text-Datenformate übersetzt, um sie zu speichern und übermitteln zu können. Die Sicherheitsprobleme entstehen, wenn inside-it.ch das richtig verstanden hat, vor allem bei der anschliessenden Deserialization. Java Applikationen können dazu gebracht werden, von Angreifern eingeschleusten böswilligen Code bei der Deserialisierung auszuführen.

Laut Reinhold ist es Oracles Plan, das in Java eingebaute gefährliche Feature durch ein "Serialization-Framework" zu ersetzen. Dieses würde es gemäss Reinhold Entwicklern erlauben, andere Serialization Engines zu verwenden, deren Daten dann in Java auf sichere Weise deserialisiert werden könnten. Voraussetzung, um dieses Framework einzuführen, ist allerdings, dass zuerst das ebenfalls neue Feature "Records", auch bekannt als Data Classes for Java, eingeführt wird. (hjm)