Supponiamo di avere un servizio web in un progetto ASP.NET.
Se spengo il protocollo di documentazione WSDL, gli altri utenti saranno in grado di:
Questo è il codice che sto usando per disattivare il protocollo del servizio web:
<webServices>
<protocols>
<remove name="Documentation"/>
</protocols>
</webServices>
WSDL è un formato basato su XML che descrive come si dovrebbe parlare a un determinato servizio Web. Tuttavia, questa non è l'unica incarnazione di quella sintassi. Il server stesso conosce la sintassi (ovviamente) ma anche il client legittimo.
Se un utente malintenzionato vuole sapere come parlare al tuo servizio Web, deve solo decodificare il codice client. Il codice client viene distribuito in vari punti, è un file scritto su dischi e nastri di backup e supporti di distribuzione, è anche nella testa di diversi sviluppatori e il protocollo può essere documentato e stampato, in modo che l'utente malintenzionato possa scansionare i bidoni della spazzatura nel sito di sviluppo per ottenere le informazioni sulla sintassi. Il WSDL può solo aiutare l'aggressore, ma sarebbe un errore credere che senza il WSDL l'aggressore sia gravemente danneggiato.
Come dice @Rook, lasciare che il servizio Web pubblichi il WSDL sia conveniente per i test; è anche un bene per gli sviluppi di interoperabilità. Dal momento che qualsiasi sana politica di sicurezza deve presupporre che sia pubblica o quasi pubblica, puoi comunque lasciarla pubblica.
È possibile mantenere privato il WSDL o tenerlo memorizzato nella cache sul client. Tuttavia, questa è solo (in) sicurezza attraverso l'oscurità . I WSDL sono utili per generare casi di test contro il tuo servizio web, e dovresti testare il tuo servizio prima di qualsiasi major release.
Leggi altre domande sui tag asp.net web-service