Tengo un servicio web ajax-ws (expuesto a través de glassfish) que utiliza la autenticación de nombre de usuario con una clave simétrica para cifrar y autenticar clientes (link ).
¿Qué tan seguro es este mecanismo? ¿Es esto suficiente para protegerse contra los ataques MITM y el rastreo de datos?
Mirando el artículo vinculado, este aspecto es muy similar a la autenticación web estándar, ya que el servidor tiene un certificado, el cliente usa la autenticación de nombre de usuario / contraseña. para autenticar y luego se usa una clave compartida para cifrar las comunicaciones.
Entonces, sobre esa base, la respuesta a su pregunta es similar a la que sería para la autenticación web estándar. Suponiendo que el cliente verifica la validez del certificado de los servidores en tiempo de ejecución y que posee los medios para verificar cosas como la revocación del certificado, es probable que esté protegido contra un ataque MITM (a menos que el certificado del servidor esté comprometido).
La detección de datos estaría protegida contra el cifrado de la secuencia de datos que aparece en los documentos que se realizarán como cifrado simétrico.
Lea otras preguntas en las etiquetas encryption man-in-the-middle webserver java web-service