poniedziałek, sierpnia 14, 2006

Bezpieczeństwo stron www w usłudze webowej (WS)

Blokowanie IP
Autentykacja
Certyfikaty

  • Można przedsięwziąć następujące miary bezpieczeństwa:
    IP blocking - http://builder.com.com/5100-6389-1045082.html - po prostu blokujemy dostęp do serwera IIS wszystkim użytkownikom za wyjątkiem wybranej puli uprzywilejowanych (poprzez identyfikację ich IP).
  • User authentication - uwiarygodnienie użytkownika - również stara jak świat metoda i polega na tym, że każda funkcja usługi webowej ma dwa dodatkowe parametry (konto i hasło). Można też posłużyć się jednym żetonem, unikalnym GUID (taki żeton zwraca wiele motorów baz danych). Należy pamiętać, że taki mechanizm zapewnia jedynie autentykację (czyli identyfikację, sprawdzenie tożsamości użytkownika). Do prawidłowego działania WS potrzebny jest następny krok autoryzacja, czyli stwierdzenie co dany użytkownik może zrobić z udostępnionymi mu zasobami. A to już jest osobna bajka… Wadą takiego rozwiązania jest konieczność dostarczenia w usłudze webowej dwóch dodatkowych parametrów (co w przypadku posługiwania się WSDL może być uciążliwe) oraz konieczność sięgania do sposobu stwierdzenia jakie prawa ma zautentykowany użytkownik (najczęściej wiąże się to z koniecznością sięgania do bazy danych).
  • Certyfikaty cyfrowe - są przekazywane wraz z żądaniami usługi webowej i automatycznie obsługiwane przez oprogramowanie WS. Wymaga to dodatkowej funkcji w WS, która sprawdza czy zostać przesłany certyfikat i czy jest poprawny. Wadą takiego rozwiązania są kłopoty z uzyskaniem certyfikatu i zmuszeniem użytkownika by się nimi posługiwał. Poza tym konieczność posiadania certyfikatu ogranicza mobilność aplikacji internetowej do komputerów, która posiadają zainstalowane certyfikaty (to z drugiej strony może i dobrze).
  • Podsumowanie - http://builder.com.com/5100-6387_14-1044831.html?tag=sc - zawiera porównanie tych trzech metod oraz adresy URL do poprzednich metod.
  • WS security w wydaniu .NET - http://builder.com.com/5100-6389-1050032.html
  • Wymagania bezpieczeństwa odnosnie WS - 10 zasad bezpieczeństwa - http://builder.com.com/5100-6389-1044902.html
Opracował w

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)