Sicherheit bei Web Services
Bei Web Services fallen zwangsläufig kritische, sicherheitsrelevante Daten an. Schon sehr einfache, unbedachte Handlungen öffnen dabei Angreifern Tür und Tor: Ein Befehl oder eine Enterprise Java Bean wird als Web Service veröffentlicht und kann direkt verwendet werden. Ein Klick mit der Maus, und eine Datenbank ist für jeden zugänglich, ohne mühsam Schnittstellen implementieren zu müssen. Wird HTTP als Transportprotokoll verwendet, so können die meisten Firewalls ohne großen Aufwand durchdrungen werden.
Mehrere kritische Punkte stellen im Umfeld von Web Services ein Sicherheitsrisiko dar: So verwenden die meisten Web Services zum Nachrichtenaustausch SOAP und als Transportmedium HTTP. SOAP als Kommunikationsprotokoll und HTTP als Transportprotokoll unterstützen in ihrer Basisform keinerlei Sicherheits-Forderungen, weil beide sehr einfach gehalten werden sollten. Der Nachteil: Sämtliche Daten werden damit im Klartext übermittelt.
Teil 1 |
|
Teil 2 |
|
Teil 3 |
|
Teil 4 |
|
Teil 5 |
|
Teil 6 |