Quando si effettua la distribuzione dei servizi Web, comprendere le importanti considerazioni di protezione. Quando si utilizza il protocollo HTTP, la configurazione predefinita non è protetta. Se la rete utilizza questo protocollo, tutte le informazioni in formato di testo semplice trasmesse nelle chiamate dei servizi Web tra i client e i server non sono protette. Questo include non solo i dati dell'applicazione, come le descrizioni dei ticket e i nomi dei contatti, ma anche gli ID delle sessioni di servizio Web (SID). A seconda dei metodi di accesso all'applicazione del servizio Web utilizzati, può includere delle password.
Si consiglia che gli amministratori che si occupano della distribuzione dei servizi Web consultino attentamente queste informazioni ed eseguano le procedure di configurazione aggiuntive ai livelli di applicazione e di rete al fine di proteggere l'ambiente dei servizi Web.
Importante la configurazione dei servizi Web che utilizza il protocollo HTTP non è protetta e pertanto è vulnerabile alle minacce dal mondo esterno. Tali minacce possono includere i tentativi di lettura delle password, il session-fixation, lo spionaggio dei dati e altro ancora.
Ci sono tre fattori principali relativi alla protezione da tenere in considerazione quando si distribuiscono i servizi Web:
Le risposte a queste domande sono descritte di seguito.
L'autenticazione che si basa sui metodi nome utente e password può essere disabilitata utilizzando il comando di configurazione della protezione seguente:
disable_user_logon
Prima di abilitare questa opzione, l'amministratore deve determinare se ciascun client dei servizi Web, per cui un'organizzazione richiede l'accesso ai servizi Web, può effettivamente fornire il supporto per il metodo di autenticazione alternativo, ovvero il metodo di accesso basato su PKI. Il vantaggio principale della tecnologia PKI sta nel fatto che le applicazioni client dei servizi Web non richiedono la gestione degli account degli utenti di sistema, ovvero la gestione, la custodia e la trasmissione delle password.
Importante Si consiglia l'uso del protocollo SSL (o https) quando si distribuiscono i servizi Web per proteggere gli scambi delle informazioni relative all'autenticazione al livello di applicazione e le trasmissioni degli ID di sessione e dei dati correlati.
require_secure_logon
Questa funzione di protezione richiede l'uso del protocollo SSL (o https) per il richiamo dei metodi Login() e LoginService(). Questa funzione fornisce un metodo pratico per proteggere il nome utente e la password e allo stesso tempo evita il sovraccarico del protocollo SSL per ciò che riguarda gli altri aspetti dei servizi Web.
Importante se si utilizza il comando require_secure_logon, l'applicazione dei servizi Web non confermerà che la protezione al livello di protocollo per le comunicazioni è applicata per metodi diversi da Login() e LoginService(). A meno che non vengano implementate altre precauzioni, è possibile che altri metodi per i servizi Web vengano richiamati senza misure di protezione, rendendo i sistemi più vulnerabili e quindi più esposti alle minacce dal mondo esterno.
require_secure_connection
Questa funzione di protezione richiede l'utilizzo del protocollo SSL per accedere a qualsiasi parte del servizio Web. Se è richiesto il protocollo https ma non viene utilizzato, viene restituito un errore SOAP con codice UDS_SECURE_CHANNEL_REQUIRED.
Nota: per ulteriori informazioni sulle modalità di configurazione del protocollo SSL, consultare la documentazione del contenitore servlet J2EE.
|
Copyright © 2013 CA.
Tutti i diritti riservati.
|
|