item 88 lsucret - JAVA-JIKIMI/EFFECTIVE-JAVA3 GitHub Wiki

item 50의 Date 필드를 이용한 불변 객체 만들기 코드가 있다.

가변인 Date 필드를 이용했기 때문에, 불변식을 지키고 불변을 유지하기 위해 방어코드가 길어졌지만, implements Serializable 를 추가한 뒤로는 불변식을 보장할 수 없게 된다.

first draft - 방어적 복사를 사용하는 불변 클래스

// 코드 참조 (https://madplay.github.io/post/write-readobject-methods-defensively)
public final class Period {
    private final Date start;
    private final Date end;

    /**
     * @param  start 시작 시각
     * @param  end 종료 시각; 시작 시각보다 뒤여야 한다.
     * @throws IllegalArgumentException 시작 시각이 종료 시각보다 늦을 때 발생한다.
     * @throws NullPointerException start나 end가 null이면 발생한다.
     */
    public Period(Date start, Date end) {
        this.start = new Date(start.getTime());
 // 가변인 Date 클래스의 위험을 막기 위해 새로운 객체로 방어적 복사
        this.end = new Date(end.getTime());
        if (this.start.compareTo(this.end) > 0) {
            throw new IllegalArgumentException(start + "가 " + end + "보다 늦다.");
        }
    }

    public Date start() { return new Date(start.getTime()); }
    public Date end() { return new Date(end.getTime()); }
    public String toString() { return start + " - " + end; }

    // ... 나머지 코드는 생략
}

• readObject가 실질적으로 또다른 public 생성자이기 때문에 불변식이 깨질 수 있다.
• readObject는 매개변수로 바이트 스트림을 받는 생성자. 그러므로 불변식을 깨뜨릴 의도로 임의 생성한 바이트 스트림을 건네면 문제가 생긴다.

→ readObject 메서드에서도 인수의 유효성검사, 필요하다면 매개변수를 방어적으로 복사해야 한다.

first draft의 공격 코드

// 코드 참조 (https://madplay.github.io/post/write-readobject-methods-defensively)
public class BogusPeriod {
    // 진짜 Period 인스턴스에서는 만들어질 수 없는 바이트 스트림,
    // 정상적인 Period 인스턴스를 직렬화한 후에 손수 수정한 바이트 스트림이다.
    private static final byte[] serializedForm = {
        (byte)0xac, (byte)0xed, 0x00, 0x05, 0x73, 0x72, 0x00, 0x06,
        0x50, 0x65, 0x72, 0x69, 0x6f, 0x64, 0x40, 0x7e, (byte)0xf8,
        ... 생략
    }

    // 상위 비트가 1인 바이트 값들은 byte로 형변환 했는데,
    // 이유는 자바가 바이트 리터럴을 지원하지 않고 byte 타입은 부호가 있는(signed) 타입이기 때문이다.

    public static void main(String[] args) {
        Period p = (Period) deserialize(serializedForm);
        System.out.println(p);
// 실행 결과, end가 start 보다 과거다. 즉, Period의 불변식이 깨진다.
// Fri Jan 01 12:00:00 PST 1999 - Sun Jan 01 12:00:00 PST 1984
    }

    // 주어진 직렬화 형태(바이트 스트림)로부터 객체를 만들어 반환한다.
    static Object deserialize(byte[] sf) {
        try (ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(sf)) {
            try (ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream)) {
                return objectInputStream.readObject();
            }
        } catch (IOException | ClassNotFoundException e) {
            throw new IllegalArgumentException(e);
        }
    }
}

• 이 문제를 고치려면 역직렬화된 객체가 유효한지 검사해야 한다.

second draft - 유효성 검사를 수행

// 코드 참조 (https://madplay.github.io/post/write-readobject-methods-defensively)
private void readObject(ObjectInputStream s)
        throws IOException, ClassNotFoundException {

    // 불변식을 만족하는지 검사한다.
    if (start.compareTo(end) > 0) {
        throw new InvalidObjectException(start + "after" + end);
    }
}

• 이제 공격자가 허용되지 않은 Period 인스턴스를 생성하는 일을 막을 수 있다.
• 그러나, 정상 Period 인스턴스에서 시작된 바이트 스트림 끝에 private Date 필드로의 참조를 추가하면 가변 Period 인스턴스를 만들어낼 수 있다.

second draft 가변 공격 예시

// 코드 참조 (https://madplay.github.io/post/write-readobject-methods-defensively)
public class MutablePeriod {
    // Period 인스턴스
    public final Period period;

    // 시작 시각 필드 - 외부에서 접근할 수 없어야 한다.
    public final Date start;

    // 종료 시각 필드 - 외부에서 접근할 수 없어야 한다.
    public final Date end;

    public MutablePeriod() {
        try {
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
            ObjectOutputStream out = new ObjectOutputStream(bos);

            // 유효한 Period 인스턴스를 직렬화한다.
            out.writeObject(new Period(new Date(), new Date()));

            /*
             * 악의적인 '이전 객체 참조', 즉 내부 Date 필드로의 참조를 추가한다.
             * 상세 내용은 자바 객체 직렬화 명세의 6.4절 참조.
             */
            byte[] ref = { 0x71, 0, 0x7e, 0, 5 }; // 참조 #5
            bos.write(ref); // 시작(start) 필드
            ref[4] = 4; // 참조 #4
            bos.write(ref); // 종료(end) 필드

						// Period 역직렬화 후 Date 참조를 '훔친다'.(????)
            ObjectInputStream in = new ObjectInputStream(
								new ByteArrayInputStream(bos.toByteArray()));
            period = (Period) in.readObject();
            start = (Date) in.readObject();
            end = (Date) in.readObject();
        } catch (IOException | ClassNotFoundException e) {
            throw new AssertionError(e);
        }
    }

    public static void main(String[] args) {
        MutablePeriod mp = new MutablePeriod();
        Period p = mp.period;
        Date pEnd = mp.end;

        // 시간을 되돌린다.
        pEnd.setYear(78);
        System.out.println(p);

        // 60년대로 돌아간다.
        pEnd.setYear(69);
        System.out.println(p);
    }
}

// Wed Nov 22 00:21:29 PST 2017 - Wed Nov 22 00:21:29 PST 1978
// Wed Nov 22 00:21:29 PST 2017 - Sat Nov 22 00:21:29 PST 1969

• Period 인스턴스는 불변식을 유지한 채 생성됐지만, 의도적으로 내부의 값을 수정할 수 있다.
• 공격자는 이 인스턴스가 불변이라고 가정하는 클래스에 넘겨 보안 문제를 일으킬 수 있다.

→ 방어적 복사가 충분히 이뤄지지 않았다.

→ 객체를 역직렬화할 때에는 클라이언트가 소유해서는 안 되는 객체 참조를 갖는 필드를 모두 반드시 방어적으로 복사해야 한다. 즉, readObject는 불변 클래스 안의 모든 private 가변 요소를 방어적으로 복사해야 한다.

Final Code - 방어적 복사 + 유효성 검사를 수행

private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException {
    s.defaultReadObject();

    // 가변 요소들을 방어적으로 복사한다.
    start = new Date(start.getTime());
    end = new Date(end.getTime());

    // 불변식을 만족하는지 검사한다.
    if (start.compareto(end) > 0) {
        throw new InvalidObjectException(start + " after " + end);
    }
}

// MutablePeriod의 main 메서드 출력 결과. 
// Fri May 31 01:01:06 KST 2019 - Fri May 31 01:01:06 KST 2019
// Fri May 31 01:01:06 KST 2019 - Fri May 31 01:01:06 KST 2019

• 방어적 복사를 위해 가변 요소의 final 예약어를 제거하였다.(final 필드는 방어적 복사 불가)
• 이제 MutablePeriod 클래스도 힘을 쓰지 못한다.

readObject 메서드를 수정 없이 사용 가능한지 판단하는 방법

• 거의 모든 경우
• 모든 필드의 값을 매개변수로 받아 유효성 검사 없이 필드에 대입하는 public 생성자(readObject)를 추가해도 괜찮은가?

→ Yes라면 사용 가능

→ No라면 유효성 검사, 방어적 복사 수행 필요

→ No일 경우 직렬화 프록시 패턴을 사용해 위의 노력을 경감시켜줄 수 있다.

final 이 아닌 직렬화 가능 클래스라면 readObject와 생성자의 공통점

• 마치 생성자처럼 readObject 메서드도 재정의 가능 메서드를 호출해서는 안 된다. (???)
• 이 규칙을 어겼는데 해당 메서드가 재정의되면, 하위 클래스의 상태가 완전히 역직렬화되기 전에 하위 클래스에서 재정의된 메서드가 실행된다. → 프로그램 오작동으로 이어질 것

정리

• readObject 메서드를 작성할 때는 public 생성자를 작성하는 자세로 임한다.
• private이어야 하는 객체 참조 필드는 해당 객체의 방어적 복사가 필요하다.
  • 예 : 불변 클래스 내의 가변 요소
• 방어적 복사 뒤에는 반드시 불변식 검사를 한다.
• 모든 불변식을 검사해 어긋난 점이 있으면 InvalidObjectException을 던진다.
• 역직렬화 후 객체 그래프 전체의 유효성을 검사해야 한다면 ObjectInputValidation 인터페이스를 사용하라
• 직접적이든 간접적이든, 재정의할 수 있는 메서드는 호출하지 말자.