WS-Security
WS-Security (Seguridad en Servicios Web) es un protocolo de comunicaciones que suministra un medio para aplicar seguridad a los Servicios Web.[1] En abril de 2004 el estándar WS-Security 1.0 fue publicado por Oasis-Open. En 2006 fue publicada la versión 1.1.
Originalmente desarrollado por IBM, Microsoft, y VeriSign, el protocolo es ahora llamado oficialmente WSS y está desarrollado por un comité en Oasis-Open.
El protocolo contiene especificaciones sobre cómo debe garantizarse la integridad y seguridad en mensajería de Servicios Web. El protocolo WSS incluye detalles en el uso de SAML y Kerberos, y formatos de certificado tales como X.509.
La Integridad de datos y confidencialidad podrían también garantizarse sobre Servicios Web a través del uso de la Transport Layer Security (TLS), por ejemplo enviando mensajes sobre HTTPS. Esto puede reducir significativamente la sobrecarga, por ejemplo eliminando la necesidad de codificar claves y firmas de mensaje en ASCII antes de enviar. La parte negativa de usar TLS sería si los mensajes necesitaran pasar a través de un servidor proxy, como si fuera necesario ver la petición para enrutado. En tal caso, el servidor vería la petición que llega del proxy, no del cliente; esto podría ser solventado si el proxy tiene una copia de la clave y certificado del cliente, o teniendo un certificado de firmado de confianza para el servidor, con el cual podría generar un par clave/certificado que coincida con aquellos del cliente. Sin embargo, el hecho de que el proxy está operando el mensaje significa que no asegura la seguridad extremo a extremo, sino que solo asegura la seguridad punto a punto.
WS-Security incorpora características de seguridad en el encabezado de un mensaje SOAP, trabajando en la capa aplicación. Así asegura seguridad extremo a extremo.
Especificaciones asociadas
[editar]Las siguientes especificaciones borrador están asociadas con WS-Security:
Véase también
[editar]Referencias
[editar]- ↑ Varghese, Jinson (19 de octubre de 2020). «Web Application Security Testing - A Comprehensive Guide». www.getastra.com (en inglés estadounidense). Consultado el 23 de diciembre de 2021.
Enlaces externos
[editar]- OASIS Web Services Security TC (Contiene enlaces para descargar los documentos de especificación)
- Publicaciones de prensa sobre WS-Security
- Perfil de Seguridad Básico WS-I
- Documentación de Seguridad de Servicios Web
- WSS4J (Implementación Java WS-Security de Apache)
- El alto costo de WS-Security
- Utilización Granular de WS-Security