Como seria, na prática, a implementação do WS-Security para prover segurança nos níveis de Rede, Aplicativo e Mensagem?
Usuário Registrado
Como seria, na prática, a implementação do WS-Security para prover segurança nos níveis de Rede, Aplicativo e Mensagem?
Security Researcher
Não sei se quer saber em termos de protocolo ou de mensagens, vou tentar explicar em termos de mensagens.
Não sei se consigo explicar muito bem, na volta vou falar burrada.
O WS-Security define a forma de conseguir integridade, confidencialidade e autenticação nas mensagens SOAP. O WS-Security utiliza tokens de segurança para manter esta informação mediante um encabeçamento de segurança da mensagem SOAP. A integridade da mensagem se consegue mediante assinaturas digitais XML, que permitem garantir que não se alteraram partes da mensagem. A confidencialidade da mensagem se baseia na especificação e encriptação do XML e garante que só o destinatário ou os destinatários a quem vai destinado a mensagem poderão compreender as partes correspondentes.
Uma mensagem deve passar através de vários pontos para chegar no seu destino, cada ponto intermédio deve reenviá-lo através de uma nova conexão SSL. Neste modelo, a mensagem original do cliente não está cifrada já que atravessa servidores intermédios e para cada nova conexão SSL que se estabelece se realizam operações cifradas adicionais que requerem uma grande quantidade de programação.
Não vou continuar, até porque não sei como resumir, mas até é mais ou menos isto.
Caso não saiba o que é uma mensagem SOAP ou TOKENS consulte:
SOAP
http://pt.wikipedia.org/wiki/SOAP
tokens
http://pt.wikipedia.org/wiki/Token
Usuário Registrado
Obrigado placker pela resposta.Originalmente enviado por placker
Você explicou o WS-Security e sobre já tenho algum conhecimento.
Contudo, tenho percebido que uma boa implementação de segurança faz uso de WS-Security e SAML. Mas não sei como fazer essa implementação na prática. Não sei se as ferramentas para criação de Web-Serviçes já oferecem essa feature. Acredito que não. Então, o que é WS-S? É um pacote de funcionalidades que deve ser instalado?
Não sei se estou sendo claro, mas o que preciso é saber como implementá-lo.
flw
Security Researcher
Dê uma olhada aqui, com certeza vai saciar todas as suas duvidas.
http://www.microsoft.com/brasil/msdn...ra/whywse.mspx
There are currently 1 users browsing this thread. (0 members and 1 guests)
Regras de envio
Responder com citação