IBM MQ classes for JMS/Jakarta Messaging での許可リスティング

Java オブジェクトのシリアライゼーションおよびデシリアライゼーションのメカニズムは、潜在的なセキュリティー・リスクとして識別されました。 IBM® MQ classes for JMS および IBM MQ classes for Jakarta Messaging での許可リスティングにより、一部のシリアライゼーション・リスクに対する保護が提供されます。

本タスクについて

デシリアライゼーションは任意の Java オブジェクトをインスタンス化するので、送信された悪意のあるデータによってさまざまな問題が発生する可能性があります。このため、Java オブジェクトのシリアライゼーションとデシリアライゼーションのメカニズムは、潜在的なセキュリティー・リスクとして見なされています。シリアライゼーションの注目すべき適用例の 1 つとして、 Jakarta Messaging 3.0 および Java Message Service 2.0 ObjectMessages では、シリアライゼーションを使用して任意のオブジェクトをカプセル化および転送します。

シリアライゼーションの許可リスティングを使用すると、シリアライゼーションがもたらすリスクの一部を軽減できる可能性があります。許可リスティングは、ObjectMessages でカプセル化と抽出を実行できるクラスを明示的に指定することで、シリアライゼーションによるリスクから、ある程度保護することができます。