WS-Security

WS-Security (Seguridad en Servicios Web) es un protocolo de comunicaciones que suministra un medio para aplicar seguridad a los Servicios Web.^[1] En abril de 2004 el estándar WS-Security 1.0 fue publicado por Oasis-Open. En 2006 fue publicada la versión 1.1.

Originalmente desarrollado por IBM, Microsoft, y VeriSign, el protocolo es ahora llamado oficialmente WSS y está desarrollado por un comité en Oasis-Open.

El protocolo contiene especificaciones sobre cómo debe garantizarse la integridad y seguridad en mensajería de Servicios Web. El protocolo WSS incluye detalles en el uso de SAML y Kerberos, y formatos de certificado tales como X.509.

La Integridad de datos y confidencialidad podrían también garantizarse sobre Servicios Web a través del uso de la Transport Layer Security (TLS), por ejemplo enviando mensajes sobre HTTPS. Esto puede reducir significativamente la sobrecarga, por ejemplo eliminando la necesidad de codificar claves y firmas de mensaje en ASCII antes de enviar. La parte negativa de usar TLS sería si los mensajes necesitaran pasar a través de un servidor proxy, como si fuera necesario ver la petición para enrutado. En tal caso, el servidor vería la petición que llega del proxy, no del cliente; esto podría ser solventado si el proxy tiene una copia de la clave y certificado del cliente, o teniendo un certificado de firmado de confianza para el servidor, con el cual podría generar un par clave/certificado que coincida con aquellos del cliente. Sin embargo, el hecho de que el proxy está operando el mensaje significa que no asegura la seguridad extremo a extremo, sino que solo asegura la seguridad punto a punto.

WS-Security incorpora características de seguridad en el encabezado de un mensaje SOAP, trabajando en la capa aplicación. Así asegura seguridad extremo a extremo.

Especificaciones asociadas

Las siguientes especificaciones borrador están asociadas con WS-Security:

Véase también

Referencias

↑ Varghese, Jinson (19 de octubre de 2020). «Web Application Security Testing - A Comprehensive Guide». www.getastra.com (en inglés estadounidense). Consultado el 23 de diciembre de 2021.

Enlaces externos

OASIS Web Services Security TC (Contiene enlaces para descargar los documentos de especificación)
Publicaciones de prensa sobre WS-Security
Perfil de Seguridad Básico WS-I
Documentación de Seguridad de Servicios Web
WSS4J (Implementación Java WS-Security de Apache)
El alto costo de WS-Security
Utilización Granular de WS-Security

Datos: Q1064732

[1] Varghese, Jinson (19 de octubre de 2020). «Web Application Security Testing - A Comprehensive Guide». www.getastra.com (en inglés estadounidense). Consultado el 23 de diciembre de 2021.

[1]