aplicación web vs seguridad del servicio web

Question

aplicación web vs seguridad del servicio web

#1 de Stephane (1 votos)

1

Mi pregunta es sobre la diferencia entre las expectativas de seguridad habituales de una aplicación web (destinada a la navegación del navegador) y el servicio web SOAP.

Para una aplicación web, una solución aceptable para la comunicación segura es HTTPS (nivel de transporte). Sin embargo, en las grandes empresas, la aplicación web está detrás de un proxy inverso / equilibrador de carga (y un firewall de aplicación web encima). El proxy inverso puede descifrar la comunicación, y esperamos que descifre la comunicación para analizar el tráfico. Luego lo envía a la aplicación web en el lan privado (a veces en HTTP simple).

Para el servicio web SOAP seguro, se puede usar HTTPS, pero como se explica en enlace , El cifrado XML (nivel de mensaje) se promueve para evitar que los puntos intermedios, como el enrutador de mensajes SOAP, tengan acceso al mensaje. Luego, el mensaje SOAP se envía (aún encriptado) al proveedor de servicios correcto en el lan privado (solo entonces el mensaje puede ser descifrado).

En mi opinión, el proxy inverso tiene la misma posición que el enrutador de mensajes SOAP.

En este caso, ¿por qué habría mayores expectativas de seguridad para los servicios web SOAP? ¿O me equivoco y mi visión de la arquitectura de aplicaciones web es una seguridad débil?

web-application architecture web-service

pregunta someone 04.07.2013 - 15:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application architecture web-service

¿Hay algún servicio web que use alguna otra forma de autenticación, además de las contraseñas? [cerrado] Implementación del ataque java NTRU

score 1 · Answer 1

Para una aplicación web, una solución aceptable para la comunicación segura es HTTPS (nivel de transporte).

Solo es aceptable si proporciona seguridad adecuada para la aplicación. Podría ser el caso si está hablando de un canal de control, pero podría ser insuficiente si está intercambiando mensajes (estos son solo ejemplos, hay muchos otros casos posibles).

En mi opinión, el proxy inverso tiene la misma posición que el enrutador de mensajes SOAP.

Eso es incorrecto: un proxy inverso verá el tráfico sin cifrar sin procesar entre los puntos finales y todo lo que sucede "detrás" también tendrá acceso a los mensajes de texto sin cifrar. Al usar el cifrado SOAP, puede preservar todos los beneficios de usar un proxy inverso mientras mantiene la seguridad de los mensajes de extremo a extremo.

En este caso, ¿por qué habría mayores expectativas de seguridad para los servicios web SOAP? ¿O me equivoco y mi visión de la arquitectura de aplicaciones web es una seguridad débil?

No es una pregunta que pueda responderse en general: el tipo (y nivel) de seguridad requerido dependerá de lo que esté haciendo la aplicación.

Una diferencia importante entre el uso de la seguridad HTTPS solamente o la seguridad SOAP es que puede mantener la seguridad del mensaje SOAP mucho más lejos y más lejos que simplemente la conexión TCP. Puede guardar el mensaje SOAP en una base de datos directamente y aún conservará todas sus propiedades de seguridad.