carol_programadora wrote:Oi gente.
Estou com uma dúvida, se um servidor(por exemplo jboss) estiver habilitado SSL, e eu tiver um server webservice que foi feito deploy e a url do wsdl seja iniciada com "https://meuserver/teste.wsdl".
Isso quer dizer que meu web service é seguro?
Não. Só quer dizer que a transmissão dos dados entre seu cliente e "meuserver" ocorre de forma criptografada. Segurança de um serviço envolve vários outros fatores:
1. O certificado enviado por "meuserver" bate com o que se espera ?
2. O certificado é válido ? (ie: está em dia, não foi revogado, a cadeia de certificação está ok, etc)
3. O serviço valida se quem o está a acessar pode fazê-lo
4. O serviço valida a mensagem e rejeita qualquer tipo de dado inválido
5. O serviço não possui falhas que possam ser exploradas através da manipulação do conteúdo da mensagem XML (ex: SQL Injection)
carol_programadora wrote:
Se isso já é seguro, porque então existe assinatura digital e criptografia com WS Security do WS?
Um dos motivos é que o WS-Security tem como foco garantir a integridade da mensagem em todo o seu trajeto, o qual pode compreender a passagem por transportes não seguros tais como e-mail e redes internas.
![[Post New]](/templates/default/images/icon_minipost_new.gif){kind=icon}
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[Avatar]](/images/avatar/a727a09bb3214ae41122b455ab5f4cb1.jpg)
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}