Wednesday May 22nd 2013

Categories

Interesting Sites

Insider

Archives

Seguridad en Web Services – Introducción

image

La seguridad es uno de los mayores desafiados en una entidad financiera o de otro rubro donde manejen web services para comunicarse entre empresas.

IBM dice, que si no hay seguridad en los Web Services los tres mayores riesgos son:

  • Transacciones sin autorización

Alguien que posea un cliente no autorizado, puede enviar mensajes SOAP a el data center para obtener dinero. Esta transacción no es autorizada.

Para solventar este problema se pueden utilizar los mecanismos de WS-Security. Un ejemplo puede ser que se incluya una combinación de id/password en el mensaje SOAP.

  • Los mensajes están en texto legible, es decir sin encriptación

El número de cuenta o el balance que viajan en el paquete SOAP puede ser leído por un sniffer en la red. Este problema se puede solventar utilizando SSL ya que así se encriptan los mensajes.

  • Los mensajes SOAP son susceptibles a la modificación, no existe integridad

Mientras el mensaje SOAP está viajando a su destino (un cliente del web Service), este puede ser interceptado en el camino y el atacante puede modificar el mensaje, por ejemplo cambiando el número de cuenta a la cual se va a hacer el depósito.

Diagrama de implementación de seguridad en Web Service:

 

image

 

Servicios que se deben implementar en un Web Services para la seguridad:

  • Identificación: La parte o cliente que acceso a un recurso, debe poder identificarse con el sistema.
  • Autenticación: Debe existir un procedimiento para verificar la identidad de quienes accedan al sistema.
  • Autorización: Deben existir un set de transacciones para que el cliente sea habilitado.
  • Integridad: La información no puede cambiarse en el viaje de un Web Service a un cliente y viceversa.
  • Confidencialidad: Nadie puede leer la información que viaje entre el cliente y el Web Service.
  • Auditoria: Todas las transacciones deben ser guardadas, para que en caso de un problema estas puedan ser analizadas.
  • No-Repudiación: Ambas partes deben estar habilitadas para proveer un documento legal, a una tercera parte para que siempre sea la misma información la que se envié el servidor, como la que recibe el cliente y viceversa.

image

Post Published: 18 February 2011
Author: Benjamín Zepeda
Found in section: Aprendiendo Programación, Seguridad

Tags: , ,

Previous Topic:
Next Topic:

Leave a Reply


Warning: Invalid argument supplied for foreach() in /home/content/w/h/i/whibla1/html/wp-content/plugins/smilies-themer-toolbar/smilies-themer-toolbar.php on line 450

free twitter buttons

Latest Topics

Voucher para certificación gratis de Microsoft Voucher para »

    Oportunidad para...

Errores de seguridad en el comercio electrónico Errores de »

  Viendo la publicidad en el facebook,...

Club de Programadores .Net en El Salvador Club de »

Si vives en El Salvador y te interesa la...

Seguridad en Web Services – Introducción Seguridad en »

La seguridad es uno de los mayores...

Seguridad con llave pública y privada en Web Services Seguridad con »

  Una imagen vale más que mil...

Enterprise JavaBeans 3.0, Parte 2 Enterprise »

    Continuando con los EJB 3.0,...

ebook gratis: Programming Windows Phone 7, by Charles Petzold ebook gratis: »

Puedes descargar el eBook en formato pdf,...

Una breve introducción a Enterprise JavaBeans 3.0 Una breve »

El objetivo de JAVA EE es la distribución...

Software de Microsoft Gratis en Dream Park Software de »

  Si eres estudiante universitario,...

Recent Comments

Marco: Yo por lo que entiendo es...

Felipe: pls help me,,,, necesito ...

Maribel: Howdy would you mind shar...