CWE ID: 579
Name: J2EE Bad Practices: Non-serializable Object Stored in Session
Das Produkt speichert ein nicht serialisierbares Objekt als HttpSession-Attribut, was die Zuverlässigkeit beeinträchtigen kann.
Eine J2EE-Anwendung kann mehrere JVMs nutzen, um die Anwendungszuverlässigkeit und -performance zu verbessern. Um die mehreren JVMs für den Endbenutzer als eine einzige Anwendung erscheinen zu lassen, kann der J2EE-Container ein HttpSession-Objekt über mehrere JVMs replizieren. So kann, falls eine JVM ausfällt, eine andere einspringen und ihren Platz einnehmen, ohne den Anwendungsablauf zu unterbrechen. Dies ist jedoch nur möglich, wenn alle Session-Daten serialisierbar sind, was die Duplizierung der Session zwischen den JVMs ermöglicht.
Effektivität: Unknown
Beschreibung: Damit die Session-Replikation funktioniert, müssen die Werte, die das Produkt als Attribute in der Session speichert, die Serializable-Schnittstelle implementieren.
