Зачем нужны отдельные стандарты для безопасности веб-служб?

Question

Зачем нужна безопасность WS для предоставления токенов, подписей и т. Д., Если для достижения этой цели есть ssl-связь? Как безопасность WS используется для обеспечения целостности, конфиденциальности и аутентичности, которые ssl не может обеспечить? Просто почему ws secuirty (Если возможно, можете привести какой-либо пример)

Если бизнес-партнер PayPal использует веб-службу PayPal на своем веб-сайте. Если эта веб-служба запрашивает имя пользователя и пароль своего клиента, как PayPal может защитить данные клиентов оттуда Деловые партнеры? Как мыльные транзакции могут осуществляться между клиентами, PayPal и его бизнес-паттерны? PLZ, вы можете объяснить, как концепции безопасности WS (обеспечивают целостность, конфиденциальность, подлинность) в этом случае?

Answer 1

Основное отличие состоит в том, что связанные с HTTP механизмы безопасности защищают транспортный уровень веб-службы, а безопасность WS направлена ​​на более высокий уровень абстракции.
аналогично, у вас могут быть и решения для обеспечения безопасности более высокого уровня (например, шифрование простоопределенное поле пароля в веб-службе) или более низкие уровни (например, VPN)

В разных сценариях требуются разные меры безопасности на разных уровнях

Некоторые примеры: веб-службы не ограничиваются передачей HTTP -ваша среда может включать другие транспорты (например, обмен сообщениями с использованием JMS, MSMQ и т. д.).настройка безопасности на уровне веб-служб (а не на транспортном уровне) позволит вам использовать общий механизм для всей среды.

Другая проблема заключается в том, что информация о безопасности на уровне http «очищается» по мере повышения уровняв стеке веб-служб - например, во многих местах вы не будете обращаться к поставщику услуг напрямую, а через центральный ESB (Enterprise Service Bus).ESB выступает в качестве центрального концентратора для служб, а также может выполнять такие задачи, как ведение журнала, маршрутизация, публикация на нескольких конечных точках служб и т. д. При использовании ESB http-соединение разрывается на ESB, и служба получает новое http-соединение.исходящий из ESB - таким образом, механизмы безопасности http не могут обеспечить сквозную защиту.Однако информация WS Security может быть сохранена, даже если сообщения маршрутизируются через ESB

---

То, что вы описываете в своем последнем комментарии, похоже, не связано с предыдущим ответом

Вы имеете в виду?у них есть механизм, такой как OpenID или kerberos, где вы можете использовать свои учетные данные с одного сайта для доступа к другому сайту?Это не относится к веб-сервисам, и для этого существуют различные существующие протоколы (я предполагаю, что они используют существующий протокол).Конечно, подобный механизм может быть разработан с использованием стандартов WS Security.Протокол Kerberos, например, работает следующим образом: 1. Пользователь проходит проверку подлинности на сервере безопасности. 2. Сервер защиты отвечает подписанным сообщением (называемым тикетом), в котором говорится: «Пользователь 123 прошел проверку подлинности». 3. Пользователь использует это сообщение для подтверждения.что он действительно является пользователем 123 на втором сайте, и нет необходимости, чтобы на втором сайте действительно получался пароль от его имени пользователя.Этот протокол основан на шифровании и криптографических сигнатурах - оба доступны с использованием безопасности WS.

Answer 2

Основное различие между SSL и WS-Security заключается в том, что SSL - это транспортный уровень, а WS-Security - это уровень сообщений ... Другими словами, когда вы используете SSL - как только сообщение покидает транспортный канал - оно не защищено. Но с WS-Security сообщение все еще будет защищено, а безопасность сообщения не зависит от транспортного канала.

С WS-Security,

• Аутентификация -> UsernameToken
• Безотказность -> Подпись [XML
• Подпись / WS-Security] Конфиденциальность -> Шифрование [XML Шифрование / WS-Security]
• Целостность -> Подпись [Подпись XML / WS-Security]

Чистый SSL обеспечивает аутентификацию / конфиденциальность и целостность - но не безотказность.

Двусторонний протокол OAuth - это стандарт поддержки безотказности по SSL.

Спасибо ...

Answer 3

В качестве отличного примера посмотрите выступления Сами Камкара "Как я встретил вашу подругу" в Defcon (короче) и в Blackhat (длиннее). Сами объясняет, используя уязвимости веб-приложений для взлома аккаунта (в данном случае это Facebook) того, кто использует SSL.

Answer 4

Безопасность SSL (TLS) защитит пользователя от прослушивания. Но это не защитит вас (ваш сайт) от злоумышленников. Вы по-прежнему подвержены переполнению буфера, внедрению SQL и т. Д.

Answer 5

WS или Web Service Security - это расширение SOAP, которое применяет безопасность к различным веб-сервисам.Ws-Security использует XML-подписи и шифрование для обеспечения сквозной безопасности.Основное внимание в этом протоколе уделяется определению того, как можно обеспечить целостность и конфиденциальность при обмене сообщениями между пользователем и поставщиком услуг в Интернете, таким как Paypal.Этот сервис также позволяет осуществлять связь с различными форматами маркеров безопасности, такими как SAML, X.509, Kerberos и т. Д. В отличие от протокола HTTP, который в основном фокусируется на обеспечении безопасности на транспортном уровне, механизм безопасности WS реализует более высокий уровень абстракции на уровне приложений и предоставляет зашифрованное решение для безопасности.

Поскольку потребность в безопасности различна для каждой платформы, эти два стандарта направлены на удовлетворение различий в потребностях таких платформ безопасности.С помощью этой безопасности улучшается сквозная безопасность, отказ от авторства, обратный прокси-сервер, привязки транспорта и т. Д.

В общих чертах можно сказать, что эта услуга является еще одним методом обеспечения большей безопасности обмена данными.платформы и конфиденциальность пользователя.Существует множество других сервисов / программ, которые выполняют ту же задачу, например TOR (обеспечивает целостность для конфиденциальности пользователей), ScrapeSentry (сервис, обеспечивающий защиту от вредоносного трафика ботов и спама), Distil Network(еще один сервис для блокировки спама в веб-спаме) и т. д. Однако концепция каждого механизма безопасности отличается, но их основной целью является обеспечение постоянной и надежной безопасности как для пользователей, так и для предприятий.

Answer 6

Добрый день люди,

технология SSL / TLS - это технология безопасности. Его цель - защитить пользователя от кражи его / ее информации (кредитной карты, адреса, номера телефона ...) хакером. Сертификат SSL защитит веб-сайт, и каждый, кто подключается к веб-сайту, обязательно будет иметь защищенную среду.

Качество защиты зависит от типа сертификата, установленного на соответствующем веб-сайте, будь то DV (проверка домена), OV (проверка организации), EV (расширенная проверка), если технология SGC присутствует или нет .

Если у вас есть другие вопросы, вы можете получить более подробную информацию здесь .