Почему для безопасности веб-служб необходимы отдельные стандарты?

Почему безопасность WS необходима для предоставления токенов, подписей и т. д., если для достижения этой цели существует ssl-связь? Как безопасность WS может использоваться для обеспечения целостности, конфиденциальности и подлинности, которые не может обеспечить ssl? Просто почему ws secuirty (если возможно, вы можете привести какой-либо пример)

Если деловой партнер PayPal использует веб-службу PayPal на своем веб-сайте. Если эта веб-служба запрашивает имя пользователя и пароль своего клиента, как PayPal может защитить данные клиентов оттуда Деловые партнеры? Как мыльная транзакция может происходить между клиентами, PayPal и ее деловые партнеры? Пожалуйста, можете ли вы объяснить, как концепции безопасности WS (обеспечивают целостность, конфиденциальность, подлинность) в этом случае?


security websphere web-services ws-security soa
person sun    schedule 22.02.2011    source источник
comment
SSL, цифровые сертификаты, шифрование могут обеспечить (целостность, конфиденциальность, подлинность). Итак, зачем нужна безопасность ws?   -  person sun    schedule 22.02.2011
comment
SSL использует PKI (инфраструктуру открытых ключей), где каждая сторона в разговоре знала друг друга заранее, но парадокс заключается в том, что SSL не работает таким образом. Клиент, подключающийся к серверу, не знает сервера, а сервер не знает клиента, вот тут-то и начинается история. Хакер может играть в атаку «человек посередине» и многое другое.   -  person longbkit    schedule 04.08.2011

Ответы (6)


arrow_upward
4
arrow_downward

Основное отличие состоит в том, что механизмы безопасности, связанные с HTTP, защищают транспортный уровень веб-службы, а безопасность WS относится к более высокому уровню абстракции. поле в веб-службе) или более низкие уровни (например, VPN)

В разных сценариях потребуются разные меры безопасности на разных уровнях.

Некоторые примеры: Веб-службы не ограничены транспортом HTTP — ваша среда может включать другие транспорты (например, обмен сообщениями с использованием JMS, MSMQ и т. д.). настройка безопасности на уровне веб-служб (а не на транспортном уровне) позволит вам использовать общий механизм для всей среды.

Другая проблема заключается в том, что информация о безопасности на уровне http «стирается» по мере того, как вы продвигаетесь выше в стеке веб-сервисов — например, во многих местах вы не будете обращаться к поставщику услуг напрямую, а через центральную ESB (Enterprise Service Bus). ESB действует как центральный концентратор для служб, а также может выполнять такие задачи, как ведение журнала, маршрутизация, публикация в нескольких конечных точках службы и т. д. При использовании ESB http-соединение разрывается на ESB, и служба получает новое http-соединение. происходящие из ESB, поэтому механизмы безопасности http не могут обеспечить сквозную безопасность. Однако информация о безопасности WS может быть сохранена, даже если сообщения маршрутизируются через ESB.

То, что вы описываете в своем последнем комментарии, похоже, не связано с предыдущим ответом.

Вы имеете в виду, что у них есть такой механизм, как OpenID или kerberos, где вы можете использовать свои учетные данные с одного сайта для доступа к другому сайту? Это не является специфичным для веб-сервисов, и для этого существуют различные существующие протоколы (я предполагаю, что они используют существующий протокол). Конечно, аналогичный механизм можно разработать с использованием стандартов безопасности WS. Протокол kerberos, например, работает следующим образом: 1. Пользователь аутентифицируется на сервере безопасности 2. Сервер безопасности отвечает подписанным сообщением (называемым билетом), в котором говорится, что «пользователь 123 прошел аутентификацию» 3. Пользователь использует это сообщение для подтверждения что он действительно является пользователем 123 для 2-го сайта, без необходимости, чтобы 2-й сайт фактически получил его имя пользователя и пароль. Этот протокол основан на шифровании и криптографических подписях — и то, и другое доступно при использовании безопасности WS.

person Ophir Yoktan    schedule 22.02.2011
comment
Большое спасибо, вы правы. Я не могу представить, как промежуточный веб-сервис может быть задействован между двумя веб-сервисами? Если возможно, пожалуйста, приведите какой-нибудь реальный пример... Жду вашего ответа. - person sun; 22.02.2011
comment
Я не уверен, что понял, что именно вы имеете в виду, но я добавил более конкретный пример - person Ophir Yoktan; 22.02.2011
comment
большое спасибо, ваш ответ мне очень помог. У меня были небольшие сомнения. Если деловой партнер PayPal использует веб-службу PayPal на своем веб-сайте. Если эта веб-служба запрашивает имя пользователя и пароль своего клиента, как PayPal может защитить данные клиентов оттуда. Деловые партнеры? Как мыльные транзакции могут происходить между клиенты, PayPal и его бизнес-партнеры? Пожалуйста, можете ли вы объяснить, как концепции безопасности WS (обеспечивают целостность, конфиденциальность, подлинность) в этом случае? - person sun; 22.02.2011

arrow_upward
2
arrow_downward

Безопасность SSL (TLS) защитит пользователя от прослушивания. Но это не защитит вас (ваш сайт) от злоумышленников. Вы по-прежнему уязвимы для переполнения буфера, SQL-инъекций и так далее.

person Paul Schreiber    schedule 22.02.2011
comment
Спасибо за ваш ответ. вы правы, но почему безопасность WS необходима для достижения целостности, конфиденциальности, подлинности, в то время как SSL, цифровые сертификаты, шифрование могут обеспечить? - person sun; 22.02.2011

arrow_upward
2
arrow_downward

В качестве отличного примера посмотрите выступление Сэми Камкара "Как я встретил вашу девушку" на Defcon. (короче) и в Blackhat (длиннее). Сэми объясняет использование уязвимостей веб-приложений взломом учетной записи (в данном случае Facebook) того, кто использует SSL.

person Zed    schedule 22.02.2011
comment
Спасибо за ваш ответ. Но меня больше всего беспокоит, зачем нужна WS secuirty? - person sun; 22.02.2011
comment
Потому что, если вы дадите мне идентификатор сеанса по защищенной, зашифрованной ссылке, но этот идентификатор можно угадать из-за вашего плохого генератора случайных чисел, тогда злоумышленник может просто угадать мой идентификатор сеанса и выдать себя за меня, эффективно захватив мой сеанс без необходимости взлома шифрование или даже увидеть трафик. Серьезно, посмотрите выступление Сэми, и вы поймете, что я имею в виду. - person Zed; 22.02.2011

arrow_upward
2
arrow_downward

Основное различие между SSL и WS-Security заключается в том, что SSL — это транспортный уровень, а WS-Security — это уровень сообщений... Другими словами, когда вы используете SSL — как только сообщение покидает транспортный канал — оно не защищено. Но с WS-Security сообщение по-прежнему будет защищено, а безопасность сообщения не зависит от транспортного канала.

С WS-Security,

  • Аутентификация --> UsernameToken
  • Неотказуемость --> Подпись [XML
  • Подпись/WS-Security] Конфиденциальность --> Шифрование [XML Encryption/WS-Security]
  • Целостность --> Подпись [Подпись XML/WS-Security]

Чистый SSL обеспечивает аутентификацию/конфиденциальность и целостность, но не отказоустойчивость.

Двусторонний OAuth — это стандарт, поддерживающий неотказуемость через SSL.

Спасибо...

person Prabath Siriwardena    schedule 25.08.2011

arrow_upward
0
arrow_downward

WS или Web Service Security — это расширение SOAP, которое применяет безопасность к различным веб-сервисам. Ws-Security использует XML-подписи и шифрование для обеспечения сквозной безопасности. Основное внимание в этом протоколе уделяется указанию того, как целостность и конфиденциальность могут быть обеспечены при обмене сообщениями между пользователем и поставщиком услуг в Интернете, таком как Paypal. Эта служба также позволяет передавать различные форматы токенов безопасности, такие как SAML, X.509, Kerberos и т. д. В отличие от протокола HTTP, который в основном ориентирован на обеспечение безопасности на транспортном уровне, механизм безопасности WS реализует более высокий уровень абстракции на прикладном уровне и обеспечивает зашифрованное решение безопасности.

Поскольку потребность в безопасности различна для каждой платформы, эти два стандарта направлены на удовлетворение различных потребностей таких платформ безопасности. С помощью этой защиты улучшаются сквозная безопасность, неотказуемость, обратный прокси, транспортные привязки и т. д.

В общих чертах можно сказать, что эта услуга является еще одним способом обеспечения большей безопасности платформ обмена данными и конфиденциальности пользователей. Существует множество других сервисов/программ, которые выполняют ту же задачу, что и TOR (обеспечивает целостность конфиденциальности пользователя), ScrapeSentry (сервис, обеспечивающий защиту от плохого бот-трафика и спама), Distil Network (еще один сервис для блокировки спама в веб-спаме) и т. д. Однако концепция каждого механизма безопасности отличается, но их основной мотив заключается в обеспечении постоянной и надежной безопасности как для пользователей, так и для предприятий.

person Sharon Williams    schedule 22.01.2014

arrow_upward
-1
arrow_downward

Добрый день, люди

технология SSL/TLS — это технология безопасности. Его цель - защитить пользователя от кражи его/ее информации (кредитной карты, адреса, номера телефона...) хакером. SSL-сертификат защитит веб-сайт, и каждый человек, который подключается к веб-сайту, обязательно будет иметь защищенную среду.

Качество безопасности зависит от типа сертификата, установленного на рассматриваемом веб-сайте, будь то DV (проверка домена), OV (проверка организации), EV (расширенная проверка), присутствует ли технология SGC или нет.

Если у вас есть другие вопросы, вы можете получить дополнительную информацию здесь.

person Baykus    schedule 22.02.2011