🚀 Filtrando Dados de Serialização de Entrada – Um pouco da qualidade do JDK 9 disponível agora
Uma das novas funcionalidades desenvolvidas para o JDK 9, a JEP 290: Filter Incoming Serialization Data (Filtrar Dados de Serialização de Entrada), foi retroportada para o JDK 8, 7 e 6.
A opção de filtrar dados de serialização de entrada adiciona mais uma camada de proteção e robustez à serialização de objetos. Ao usar o mecanismo de filtragem, os desenvolvedores podem restringir as classes que podem ser desserializadas por um aplicativo. Como a maioria dos recursos de segurança, este novo recurso não se destina a substituir as práticas atuais de codificação segura, mas a complementá-las.
🔄 Disponibilidade e Retroportes
O recurso está disponível nas versões de acesso antecipado do JDK 9, mas como havia o desejo de que os usuários das versões atuais também tivessem essa capacidade, ele já foi retroportado para as atualizações do JDK e JRE lançadas com a Atualização Crítica de Pacotes (Critical Patch Update) de janeiro de 2017 (8u121, 7u131 e 6u141). Consulte as notas de lançamento das versões correspondentes para obter mais informações.
💡 Por Que Este Filtro é Importante?
Implementar um filtro para dados de serialização de entrada é uma etapa proativa para reforçar a segurança de aplicações que dependem de desserialização. Ele age como um guardião, validando o que pode ser reconstruído a partir do fluxo de bytes recebido, ajudando a mitigar potenciais vetores de ataque.