- 2019-04-19那我们平常用的rpc 框架dubbo也会有这个序列化安全问题吧,如果想加上签名验证感觉成本又比较大
作者回复: RPC一般要求在可信任的环境下使用。 检查使用环境,看看能不能切断外部修改、监听的可能性。
2 
2019-04-14不能序列化,能保存翻数据库里面去吗?作者回复: 保存到数据库里,其实也是一种序列化的形式。 这样的设计,需要把对象和数据库保护起来,切断中间攻击的机会。
2
2019-04-01老师好,请教一个问题,我没有接触过Java,平时主要用Golang,用到了大量的json.Marshal方法,我平时管这个也叫序列化。不知老师是否了解json.Marshal,这跟Java的序列化有什么区别吗,还是只是恰好同名?作者回复: 序列化是一个运用广泛的技术,不独Java有。序列化的问题也有普遍性。不过,不同的对象,使用的场景不同,所以威胁也有很大区别。我没有研究过JSON的序列化,抱歉不能给你更多的建议。
2
2019-04-01如果不用序列化,有哪些替代方案作者回复: HTTP/Web
2
2019-07-14请问老师 https不能解决这个问题吗?作者回复: 可以的,双向认证的HTTPS或者TLS可以搭建一个可信的环境。
1
2019-04-031. 习题:birthday和socialSecurityNumber是敏感数据,不能序列化。
2. 现在序列化不是用json格式比较多吗,好处,可以跨语言、平台
3. 如果用序列化的话,数据传输用https+token(JSON Web Token)会不会解决?作者回复: #3,双向认证,数据加密的场景可以。
1
2019-10-15之前做redo undo 都用的序列化。还好每步操作都要重新鉴权
2019-04-01不能加密之后系列化么,然后拿到数据解密再反系列化?作者回复: 可以,但是两端要持有相同的密钥。密钥的协商和分享很困难。