re: Ancora sull’Application Security : SSL è superato dalle specifiche WS-* ??

Roberto Scaccia — Tue, 23 Jun 2009 18:12:52 GMT

Ciao Mario,

Nel caso di UsernameToken può essere utilizzato anche il meccanismo del digest. In questo caso (almeno il profilo) prevede l'utilizzo di un "nonce" e quindi l'uso di SSL non diventa così indispensabile. Certo il MITM è sempre possibile...

L'unica cosa che mi disturba di SSL è la negoziazione della chiave di sessione che la prima volta richiede un tempo non indifferente. Se poi consideriamo che non è una navigazione Web ma la richesta di un servizio...

Cosa ne pensi in merito?

re: Ancora sull’Application Security : SSL è superato dalle specifiche WS-* ??

mfontana — Tue, 30 Jun 2009 13:39:33 GMT

CIao Roberto,

Il nonce è opzionale nella specifica e alcune implementazioni di differenti vendor trattano diversamente le impostazioni di default. Personalmente se si tratta di due endpoint e non ci sono instradamenti tramite soap-routers preferisco abilitare SSL (se possibile) perchè aiuta a mitigare il MITM e mi rende più confidente rispetto agli aspetti di operation.

In effetti la negoziazione della chiave di sessione è l'aspetto più oneroso del protocollo. Da quanto vedo anche nelle successive specifiche dei Web Services la cosa non migliora (anzi!) come ad esempio in WS-SecureConversation dove la negoziazione avviene tramite protocollo SOAP !!

Purtroppo è un pegno da pagare se non si vuole avere dell'hardare dedicato (e costono) al supporto di SSL.

--Mario