Servizi Web e protocollo di documentazione WSDL

2

Supponiamo di avere un servizio web in un progetto ASP.NET.

Se spengo il protocollo di documentazione WSDL, gli altri utenti saranno in grado di:

  1. aggiungi un riferimento al servizio web?
  2. scopri i metodi e i parametri del servizio web?

Questo è il codice che sto usando per disattivare il protocollo del servizio web:

<webServices>
    <protocols>
        <remove name="Documentation"/> 
    </protocols>
</webServices>
    
posta Matthew 16.08.2013 - 18:33
fonte

2 risposte

2

WSDL è un formato basato su XML che descrive come si dovrebbe parlare a un determinato servizio Web. Tuttavia, questa non è l'unica incarnazione di quella sintassi. Il server stesso conosce la sintassi (ovviamente) ma anche il client legittimo.

Se un utente malintenzionato vuole sapere come parlare al tuo servizio Web, deve solo decodificare il codice client. Il codice client viene distribuito in vari punti, è un file scritto su dischi e nastri di backup e supporti di distribuzione, è anche nella testa di diversi sviluppatori e il protocollo può essere documentato e stampato, in modo che l'utente malintenzionato possa scansionare i bidoni della spazzatura nel sito di sviluppo per ottenere le informazioni sulla sintassi. Il WSDL può solo aiutare l'aggressore, ma sarebbe un errore credere che senza il WSDL l'aggressore sia gravemente danneggiato.

Come dice @Rook, lasciare che il servizio Web pubblichi il WSDL sia conveniente per i test; è anche un bene per gli sviluppi di interoperabilità. Dal momento che qualsiasi sana politica di sicurezza deve presupporre che sia pubblica o quasi pubblica, puoi comunque lasciarla pubblica.

    
risposta data 16.08.2013 - 19:27
fonte
3

È possibile mantenere privato il WSDL o tenerlo memorizzato nella cache sul client. Tuttavia, questa è solo (in) sicurezza attraverso l'oscurità . I WSDL sono utili per generare casi di test contro il tuo servizio web, e dovresti testare il tuo servizio prima di qualsiasi major release.

    
risposta data 16.08.2013 - 19:13
fonte

Leggi altre domande sui tag