Ho un servizio web ajax-ws (esposto tramite glassfish) che utilizza l'autenticazione del nome utente con una chiave simmetrica per crittografare e autenticare i client (link ).
Quanto è sicuro questo meccanismo? Basta questo per proteggersi dagli attacchi MITM e dallo sniffing dei dati?
Guardando l'articolo collegato questo sembra molto simile all'autenticazione web standard in quanto il server ha un certificato, il client utilizza l'autenticazione username / password. per autenticare e quindi una chiave condivisa viene utilizzata per crittografare le comunicazioni.
Quindi su questa base la risposta alla tua domanda è simile a quella che sarebbe per un'autenticazione web standard. Supponendo che il client verifichi la validità del certificato dei server in fase di esecuzione e che sia in grado di controllare elementi come la revoca dei certificati, è ragionevolmente probabile che sia protetto da un attacco MITM (a meno che il certificato del server non sia compromesso).
Lo sniffing dei dati verrebbe protetto dalla crittografia del flusso di dati che appare dai documenti da eseguire come crittografia simmetrica.
Leggi altre domande sui tag java encryption webserver man-in-the-middle web-service