Posts Tagged ‘Seguridad Informatica’
Seguridad en Web Services – Introducción
La seguridad es uno de los mayores desafiados en una entidad financiera o de otro rubro donde manejen web services para comunicarse entre empresas. IBM dice, que si no hay seguridad en los Web Services los tres mayores riesgos son: Transacciones sin autorización Alguien que posea un cliente no autorizado, puede enviar mensajes SOAP a el data center para obtener dinero. Esta transacción no es autorizada. Para solventar este problema se pueden utilizar los mecanismos de WS-Security. Un ejemplo puede ser que se incluya una combinación de id/password en el mensaje SOAP. Los mensajes están en texto legible, es decir sin encriptación El número de cuenta o el balance que viajan en el paquete SOAP puede ser leído por un sniffer en la red. Este problema se puede solventar utilizando SSL ya que así se encriptan los mensajes. Los mensajes SOAP son susceptibles a la modificación, no existe integridad Mientras el mensaje SOAP está viajando a su [...]
Seguridad con llave pública y privada en Web Services
Una imagen vale más que mil palabras de definición de los certificados digitales y el esquema de seguridad la llave pública y privada para los Web Services, esto forma parte del WSS(Web Service Security) En la anterior imagen, Henry representa el consumidor del Web Service y Mark representa el proveedor del Web Service. Henry utiliza la llave publica de Mark para encriptar el SOAP Request(el mensaje), y Mark utiliza su propia llave privada para desencriptar el SOAP Request.
Consejos para la seguridad en un web Service
Les dejo algunas sugerencias para mejorar la seguridad de un web service en el caso que este deba ser privado y maneje informacion delicada de la empresa. Es recomendable utilizar un nuevo puerto para los web services, esto con el fin de crear en el firewall una tabla con únicamente las ip que si deben tener acceso al web service. No entregar el WSDL a personas que no estén en el proyecto, ni mandarlo al azar por correo electrónico. La documentación del web service, no debe navegar libremente en el trabajo ni por correo electrónico, ya que esta posee información importante del web service tal como los métodos que recibe entre otras cosas. Utilizar el principio de esconder para obtener mayor seguridad, nadie puede atacar algo que no conoce. Utilizar la seguridad por medio de llaves entre cliente y web service para evitar que otra persona tenga acceso al web service sin permiso previo. El canal de [...]
Seguridad en la Web
Me he perdido casi dos meses, pero regrese ;) el mail de godaddy que se me estaba venciendo el hosting me han dado deseos de volver a escribir. Disculpándome por la ausencia, pero he estado en un cambio de trabajo... por suerte mi nuevo empleo es en un banco y estoy viendo la parte de transacciones electronicas por lo que aprenderé muchas cosas que espero compartir con ustedes en el resto del año, por eso empezare con el tema de la seguridad web. La seguridad en la web es fundamental, para evitar el riesgo de ataques en una aplicación web podemos aplicar diferentes técnicas como: Autenticación Autorización Integridad de datos Auditoria (more...)
