아이템 88. readObject 메서드는 방어적으로 작성하라

[jinan159]

0. 들어가며

readObject 메서드는 직렬화된 데이터를 읽어서 객체로 역직렬화하는 메서드 입니다.

readObject 메서드의 특징은 다음과 같습니다

• 접근 지정자가 private 이어야 함
  • 직렬화 될때는 Reflection을 통해 직렬화되기 때문에 private 이라도 상관없음
  • 오히려 외부에서 접근할 수 없도록 만들어서 안정성을 높여줌
• 해당 클래스가Serializable 인터페이스를 상속해야 함

readObject 메서드는 다음과 같이 구현됩니다.

import java.io.*;
import java.util.*;

class Something implements Serializable {
    private Integer id;
    private String name;

    public Something(Integer id, String name) {
        this.id = id;
        this.name = name;
    }

    @Serial
    private void writeObject(ObjectOutputStream oos) {
        try {
            oos.defaultWriteObject();
            oos.writeObject(this.id);
            oos.writeObject(this.name);
            System.out.println("writeObject");
        } catch (IOException e) {
            throw new RuntimeException(e);
        }

    }

    @Serial
    private void readObject(ObjectInputStream ois) {
        try {
            ois.defaultReadObject();
            this.id = (Integer)ois.readObject();
            this.name = (String)ois.readObject();
            System.out.println("readObject");
        } catch (IOException | ClassNotFoundException e) {
            throw new RuntimeException(
                new InvalidObjectException(e.getMessage())
            );
        }
    }

    @Override
    public String toString() {
        return "Something{" +
            "id=" + id +
            ", name='" + name + '\'' +
            '}';
    }

    public static void main(String[] args) throws IOException {
        var encoder = Base64.getEncoder();
        var something = new Something(1, "jinan159");
        byte[] result = null;

        System.out.println("Created : " + something);

        try (var baos = new ByteArrayOutputStream()) {
            try (var oos = new ObjectOutputStream(baos)) {
                oos.writeObject(something);
                result = baos.toByteArray();
                System.out.println("Serialized : " + encoder.encodeToString(result));
            }
        }

        try (var bais = new ByteArrayInputStream(result)) {
            try (var ois = new ObjectInputStream(bais)) {
                var readedSomething = (Something) ois.readObject();
                System.out.println("Deserialized : " + readedSomething);
            } catch (ClassNotFoundException e) {
                throw new RuntimeException(e);
            }
        }
    }
}

-------------------------------------------------------------------------

Created : Something{id=1, name='jinan159'}
writeObject
Serialized : rO0ABXNyACNjb20uZ2d1Z2UucHJvZHVjdC5zZXJ2aWNlLlNvbWV0aGluZ+Gw8/5AJIrfAwACTAACaWR0ABNMamF2YS9sYW5nL0ludGVnZXI7TAAEbmFtZXQAEkxqYXZhL2xhbmcvU3RyaW5nO3hwc3IAEWphdmEubGFuZy5JbnRlZ2VyEuKgpPeBhzgCAAFJAAV2YWx1ZXhyABBqYXZhLmxhbmcuTnVtYmVyhqyVHQuU4IsCAAB4cAAAAAF0AAhqaW5hbjE1OXEAfgAGcQB+AAd4
readObject
Deserialized : Something{id=1, name='jinan159'}

1. 바이트스트림 조작 공격

readObject 메서드는 바이트 스트림을 받는 생성자를 작성한다고 생각하고 만들어야 합니다.

공격자가 조작된 바이트스트림으로 객체를 생성하면, 의도치 않은 형태의 객체가 생성될 수 있기 때문입니다.

다음과 같은 경우를 예로들 수 있습니다.

1. 객체의 검증 조건을 무시
   • Period 클래스는 생성자에서 startDate, endDate를 받는 객체가 있음
     • 생성자에서 startDate > endDate 면 예외를 발생시킴
   • 하지만, readObject에서 검증을 제대로 하지 않는 경우 위 조건이 깨진 객체가 만들어짐
2. 불변객체를 변경되게 함
   • final 로 선언된 객체 참조 필드라 하더라도, 필드 내부의 값은 변경될 수 있기 때문임

2. readObject 메서드 작성 지침

• readObject 메서드는 public 생성자라고 생각하자
• private 객체 참조 필드는 방어적으로 복사해야 한다
  • 클라이언트가 해당 객체 참조 필드에 들어갈 객체에 접근하면 안되는 경우는 필수
• 모든 불변식을 검사하여 어긋나는게 발견되면 InvalidObjectException을 던져라
  • 방어적 복사 다음에는 반드시 불변식 검사가 뒤따라야 함
• 역직렬화 후 객체 그래프 전체의 유효성을 검사해야한다면 ObjectInputValidation 인터페이스를 사용하라
• 직접적이든 간접적이든, 재정의할 수 있는 메서드는 호출하지 말자