Oi gente.
Estou com uma dúvida, se um servidor(por exemplo jboss) estiver habilitado SSL, e eu tiver um server webservice que foi feito deploy e a url do wsdl seja iniciada com “https://meuserver/teste.wsdl”.
Isso quer dizer que meu web service é seguro?
Se isso já é seguro, porque então existe assinatura digital e criptografia com WS Security do WS?
Obrigada a todos.
Só quer dizer que é criptografado. Entretanto, está submetido ao ataque “Man-in-the-Middle” se a identidade do certificado digital do servidor não for cuidadosamente verificada.
[quote=carol_programadora]Oi gente.
Estou com uma dúvida, se um servidor(por exemplo jboss) estiver habilitado SSL, e eu tiver um server webservice que foi feito deploy e a url do wsdl seja iniciada com “https://meuserver/teste.wsdl”.
Isso quer dizer que meu web service é seguro?
[/quote]
Não. Só quer dizer que a transmissão dos dados entre seu cliente e “meuserver” ocorre de forma criptografada. Segurança de um serviço envolve vários outros fatores:
O certificado enviado por “meuserver” bate com o que se espera ?
O certificado é válido ? (ie: está em dia, não foi revogado, a cadeia de certificação está ok, etc)
O serviço valida se quem o está a acessar pode fazê-lo
O serviço valida a mensagem e rejeita qualquer tipo de dado inválido
O serviço não possui falhas que possam ser exploradas através da manipulação do conteúdo da mensagem XML (ex: SQL Injection)
Um dos motivos é que o WS-Security tem como foco garantir a integridade da mensagem em todo o seu trajeto, o qual pode compreender a passagem por transportes não seguros tais como e-mail e redes internas.