Sicurezza delle applicazioni Web e dei servizi Web

1

La mia domanda riguarda la differenza tra le normali aspettative sulla sicurezza di un'applicazione Web (destinata alla navigazione tra browser) e il servizio web SOAP.

Per un'applicazione Web, una soluzione accettabile per le comunicazioni sicure è HTTPS (livello del trasporto pubblico). Tuttavia, nelle grandi aziende, l'applicazione web è protetta da un proxy inverso / bilanciamento del carico (e un firewall dell'applicazione Web su di esso). Il proxy inverso è in grado di decodificare la comunicazione e ci aspettiamo che decifri la comunicazione in modo da analizzare il traffico. Quindi lo invia all'applicazione web nella lan privata (a volte in semplice HTTP).

Per il servizio Web SOAP protetto, è possibile utilizzare HTTPS, ma come spiegato in link , La crittografia XML (livello messaggio) viene promossa in modo da impedire l'accesso al messaggio ai punti intermedi, come il router di messaggi SOAP. Quindi il messaggio SOAP viene inviato (ancora crittografato) al fornitore di servizi corretto nella lan privata (solo allora il messaggio può essere decodificato).

Ai miei occhi, il proxy inverso ha la stessa posizione del router di messaggi SOAP.

In questo caso, perché ci sarebbero maggiori aspettative sulla sicurezza dei servizi web SOAP? O mi sbaglio e la mia visione dell'architettura delle applicazioni web è una debole sicurezza?

    
posta someone 04.07.2013 - 15:02
fonte

1 risposta

1

For a web application, an acceptable solution for secure communication is HTTPS (tranport level).

È accettabile solo se fornisce una sicurezza adeguata per l'applicazione. Potrebbe essere il caso se stai parlando di un canale di controllo ma potrebbe essere insufficiente se stai scambiando messaggi (questi sono solo esempi, ci sono molti altri casi possibili).

In my eyes, the reverse proxy has the same position as the SOAP message router.

Che non è corretto: un proxy inverso vedrà il traffico non crittografato tra gli endpoint e tutto ciò che accade "dietro" avrà anche accesso ai messaggi in chiaro. Utilizzando la crittografia SOAP puoi conservare tutti i vantaggi dell'utilizzo di un proxy inverso mantenendo la sicurezza dei messaggi end-to-end.

In this case, why would there be stronger security expectations to SOAP web services ? Or am I wrong and has my vision of web application architecture a weak security?

Non è una domanda che può essere una risposta in generale: il tipo (e il livello) di sicurezza richiesto dipende da cosa sta facendo l'applicazione.

Una differenza importante tra l'utilizzo della sicurezza HTTPS o la sicurezza SOAP è che è possibile mantenere la sicurezza del messaggio SOAP molto più complesso e più lontano rispetto alla semplice connessione TCP. È possibile salvare direttamente il messaggio SOAP in un database e conserverà tutte le sue proprietà di sicurezza.

    
risposta data 04.07.2013 - 15:33
fonte

Leggi altre domande sui tag