Wie sicher ist die WCF?

Sicherheitsrisiko .NET 3.0 und Windows Communication Foundation

Microsoft gibt mit der neuen Windows Communication Foundation (WCF) als Kernbestandteil von .NET 3.0 eine eigene Antwort auf die Serviceorientierung moderner Softwarearchitekturen. Dabei stellt die Gewährleistung von IT-Sicherheit ein wesentliches Designziel der WCF dar. Das neue Programmiermodell und die Laufzeitumgebung werden diesem Anspruch an vielen Stellen gerecht, eine umfassende Betrachtung der WCF offenbart jedoch auch Schwächen.

Serviceorientierung ist auch für Microsoft spätestens seit der Veröffentlichung des .NET Frameworks 3.0 Ende 2006 zu einer integralen Funktion der hauseigenen und seit Windows Vista nun auch vollständig mit dem Client-Betriebssystem ausgelieferten Anwendungsplattform geworden. Mit .NET 3.0 umfasst diese Plattform jedoch noch einiges mehr: Sie besteht aus den neuen Komponenten Windows Workflow Foundation (WF), Windows Presentation Foundation (WPF, Entwicklungsname Avalon), Windows CardSpace (WCS) und Windows Communication Foundation (WCF, Entwicklungsname Indigo) sowie dem klassischen .NET Framework in der Version 2.0.

Bei der Sicherheit von .NET 3.0 kommt der WCF aufgrund ihrer zentralen Stellung in allen Kommunikationsszenarien eine Schlüsselrolle zu. Die Sicherheit der übrigen Komponenten, insbesondere auch von Windows CardSpace, hängt wesentlich von der Absicherung der WCF ab. Welche Risiken sich beim Einsatz der WCF ergeben zeigt unser aktueller Beitrag Microsofts Indigo – ein kräftiges Blau mit Flecken. (ala)