SOAP und Sicherheit
... [ Seminar XML & Java ] ... [ SOAP - Index ] ...
Übersicht:
SOAP und Sicherheit
SOAP ist von sich aus natürlich kein sicheres Protokoll, da im Grunde genommen
sämtliche Daten im Klartext übersandt werden. Es gibt keine Regelung der
Verschlüsselung oder Authentifizierung, die sicherstellen könnten, dass SOAP-
Nachrichten von keinem Unbefugten gelesen werden könnten oder verhindern, das
Mitgeschnittene SOAP-Requests erneut abgespielt werden. Diese Funktionen müssen
entweder die zugrundeliegenden Übertragungsprotokolle abdecken oder die
kommunizierenden Programme.
Grund für diese Unsicherheit ist, dass Aspekte der Sicherheit und der Authentifikation
kein primäres Design-Ziel von SOAP waren. SOAP sollte zum einen sehr einfach gehalten
bleiben - Sicherheitsmechanismen hätten das Protokoll nur (unnötig) verkompliziert.
Genausowenig wie HTML auch keine Sicherheitsmechanismen gegen das unberechtigte
Lesen implementiert, ist SOAP selbst auch frei von diesem Ballast. Andererseits kündigen
die Entwickler von SOAP allerdings in der Spezifikation an, sich in zukünftigen Versionen
auch mit diesen Themen auseinandersetzen zu wollen.
[ Nach oben ]
SOAP an sich ist unsicher, da...
- Sicherheit kein Design-Ziel war.
- alles möglichst einfach gehalten werden sollte.
- Sicherheitsaspekte an das Transportprotokoll oder die Anwendung delegiert werden können.
[ Nach oben ]
Wie wird SOAP sicher?
- Durch Einsatz von sicheren Verbindungen (HTTPS).
- Durch Zwischenschalten von Verschlüsselungsstationen.
- Durch Vergabe von einmaligen IDs zur Authentifizierung der jeweiligen Nachricht.
[ Nach oben ]
SOAP über HTTPS
HTTPS (auch Secure HTTP) ist eine Variante des HTT-Protokolls, die zur Verschlüsselung der zu
übertragenden Daten den Secure Socket Layer (SSL) nutzt. Damit werden relativ sichere Transaktionen
gewährleistet. Obwohl HTTPS als eigenes Protokoll gilt, besteht es eigentlich aus HTTP-Paketen, die lediglich
über den SSL übertragen werden. Generell können aber alle Daten, die über HTTP versendet werden können, auch mittels HTTPS
übertragen werden. Somit steht einer gesicherten Kommunikation nichts mehr im Weg, denn die durch SSL verwendete Verschlüsselung
bietet Schutz gegen die meisten Angriffe, wobei dies stark von der verwendeten Schlüssellänge abhängt.
Man sollte aber berücksichtigen, dass trotzdem Möglichkeiten existieren, die Verschlüsselung zu knacken.
Außerdem nutzt auch die sicherste Verbindung nichts, wenn das System, auf das die Daten übertragen werden, nicht sicher ist.
[ Nach oben ]
... [ Seminar XML & Java ] ... [ SOAP - Index ] ... [ SOAP und Sicherheit ] ...