La mia domanda riguarda la differenza tra le normali aspettative sulla sicurezza di un'applicazione Web (destinata alla navigazione tra browser) e il servizio web SOAP.
Per un'applicazione Web, una soluzione accettabile per le comunicazioni sicure è HTTPS (livello del trasporto pubblico). Tuttavia, nelle grandi aziende, l'applicazione web è protetta da un proxy inverso / bilanciamento del carico (e un firewall dell'applicazione Web su di esso). Il proxy inverso è in grado di decodificare la comunicazione e ci aspettiamo che decifri la comunicazione in modo da analizzare il traffico. Quindi lo invia all'applicazione web nella lan privata (a volte in semplice HTTP).
Per il servizio Web SOAP protetto, è possibile utilizzare HTTPS, ma come spiegato in link , La crittografia XML (livello messaggio) viene promossa in modo da impedire l'accesso al messaggio ai punti intermedi, come il router di messaggi SOAP. Quindi il messaggio SOAP viene inviato (ancora crittografato) al fornitore di servizi corretto nella lan privata (solo allora il messaggio può essere decodificato).
Ai miei occhi, il proxy inverso ha la stessa posizione del router di messaggi SOAP.
In questo caso, perché ci sarebbero maggiori aspettative sulla sicurezza dei servizi web SOAP? O mi sbaglio e la mia visione dell'architettura delle applicazioni web è una debole sicurezza?