Le déploiement de services Web doit s'accompagner de précautions importantes en matière de sécurité. En cas d'utilisation du protocole HTTP, la configuration par défaut n'est pas sécurisée, comme c'est le cas pour toutes les informations sur les appels de services Web échangées par le client et le serveur sur le réseau, en texte brut, à l'aide du protocole HTTP. Ceci concerne non seulement les données d’application telles que les descriptions de tickets et les noms des contacts, mais également les identificateurs de session de service Web (ID de session). De plus, selon les méthodes de connexion (login) à l’application de service Web qui sont utilisées, les mots de passe peuvent également être concernés. Nous conseillons vivement aux administrateurs qui déploient des services Web de lire attentivement ces informations et de prendre des mesures de configuration supplémentaires au niveau de l'application et du réseau afin de sécuriser leur environnement de service Web.
Important : la configuration par défaut du service Web utilisée avec HTTP n'est pas sécurisée et elle est donc vulnérable aux menaces de sécurité telles que le vol des mots de passe, le blocage de session et l'espionnage des données.
Le déploiement des services Web doit prendre en considération trois questions de sécurité interdépendantes :
Voici une description de chacune des fonctions de sécurité :
La commande de configuration de la sécurité suivante permet de désactiver les méthodes d'authentification recourant à la combinaison nom d'utilisateur/mot de passe :
disable_user_logon
Avant d'activer cette option, l'administrateur doit déterminer si chaque client de service Web pour lequel une entreprise demande un accès aux services Web peut réellement prendre en charge l'autre méthode d'authentification, c'est-à-dire la méthode de connexion basée sur PKI. L'avantage principal de la technologie d'infrastructure de clés publiques (PKI) vient de ce que les applications client de services Web ne nécessitent pas que le système assure la gestion des comptes d'utilisateur (maintenance, stockage et transmission de leurs mots de passe).
Important : Il est conseillé d'utiliser le protocole SSL (ou https) lors du déploiement des services Web afin de protéger les échanges d'authentification au niveau de l'application ainsi que les transmissions ultérieures d'identification et de données de session.
require_secure_logon
Cette fonction de sécurité nécessite que vous utilisiez un protocole SSL (ou https) pour appeler les méthodes Login() et LoginService(). Elle constitue également une méthode pratique de protection du nom d'utilisateur et du mot de passe, tout en évitant la surcharge du protocole SSL pour les autres services Web.
Important : si vous utilisez la commande require_secure_logon, l'application de services Web ne confirmera pas que la sécurisation des communications par protocole est appliquée pour les méthodes autres que Login() et LoginService(). Si vous ne prenez pas d'autres précautions, il se peut que les autres méthodes de services Web soient appelées de façon non sécurisée, ce qui accroît la vulnérabilité aux menaces sur la sécurité.
require_secure_connection
Cette fonction vous oblige à utiliser le protocole SSL pour accéder à n'importe quelle partie du service Web. Si le protocole https est requis, mais reste inutilisé, une erreur SOAP reprenant le code UDS_SECURE_CHANNEL_REQUIRED est renvoyée.
Remarque : Pour plus d'informations sur la configuration du protocole SSL, reportez-vous à la documentation du conteneur de servlets J2EE.
| Copyright © 2011 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |