Web Services Security è standard

Dopo più di un anno, OASIS approva una specifica di sicurezza per i Web service, WS-Security, appoggiata da diversi colossi del settore, fra cui anche Microsoft e IBM

Boston (USA) - Per crescere e svilupparsi, il nascente mercato dei Web service deve innanzitutto guardare alla sicurezza delle transazioni, un fattore divenuto di prioritaria importanza in questa seconda - e tutti sperano più fortunata - fase della cosiddetta "new economy". A tal fine l'organismo di normalizzazione internazionale OASIS ha approvato come standard la versione 1.0 della specifica Web Services (WS) Security, un framework per rendere sicure le comunicazioni fra le applicazioni basate sul Web.

WS-Security, verso cui hanno già annunciato pieno appoggio aziende come Sun, Intel e Cisco, ha l'obiettivo di fornire una soluzione standard alle problematiche di sicurezza relative ai Web service, rendendo altresì possibile la piena interoperabilità fra piattaforme differenti. Quello della sicurezza è un fattore cruciale per il successo di una tecnologia, quella dei Web service, che sarà uno dei capisaldi della prossima fase dell'e-business.

Le specifiche WS-Security utilizzano alcune tecnologie di sicurezza già esistenti - XML Digital Signature, XML Encryption e X.509 Certificates - per definire un insieme di estensioni allo standard SOAP (Simple Object Access Protocol) che consentono l'implementazione di funzionalità per l'integrità e la confidenzialità dei dati.
In particolare, le specifiche rilasciate da OASIS includono vari modelli di riferimento dedicati ad aree precise delle politiche di business e di sicurezza legate ai Web service: fra queste si trovano WS-Policy, WS-Trust, WS-SecureConversation, WS-SecurityPolicy, WS-PolicyAttachments e WS-PolicyAssertions. A queste, IBM e Microsoft hanno di recente proposto l'aggiunta delle specifiche WS-Federation, Passive Requestor Profile e Active Requestor Profile.

I Web service vengono visti dall'industria come i mattoni con cui costruire quell'infrastruttura di applicativi/servizi - due concetti destinati a collimare - che sarà alla base del "nuovo" World Wide Web. A sottolineare l'importanza dei Web service vi è il ruolo che questi secondo i big avranno nel traghettare il software verso il Web, innescando di fatto una delle maggiori rivoluzioni nella storia dell'informatica. In prospettiva, affermano, quando basterà un browser e una connessione a larga banda per accedere ad applicativi e giochi, i sistemi operativi potrebbero perdere parte della loro attuale importanza, divenendo - soprattutto per gli utenti desktop - una sorta di interfaccia tuttofare al "sistema operativo globale": il Web.
TAG: sicurezza
27 Commenti alla Notizia Web Services Security è standard
Ordina
  • "In prospettiva, affermano, quando basterà un browser e una connessione a larga banda per accedere ad applicativi e giochi, i sistemi operativi potrebbero perdere parte della loro attuale importanza, divenendo - soprattutto per gli utenti desktop - una sorta di interfaccia tuttofare al "sistema operativo globale": il Web."

    I web services sono l'esatto contrario: sono un meccanismo di "remoting" (invocazione remota di codice) e non una "interfaccia" come HTML. L'unico punto in comune è che usano HTTP per la comunicazione client/server (e per questo sono poco performanti, per ora).
    Sono perfettamente utilizzabili senza un browser, anzi un browser non serve a nulla perché non è in grado di utilizzarli.

    Il vantaggio di SOAP è di essere uno standard indipendente dalla piattaforma (i metodi di un web services scritto in java sono facilmente invocabili da un'applicazione nativa Windows o Linux, e viceversa) e di usare HTTP come trasporto e quindi di passare agevolmente attraverso i firewall. Potrebbero permettere di costruire agevolmente applicazioni distribuite che sfruttino servizi disponibili in rete, ma potrebbero anche segnare la fine del browser così come lo conosciamo. Invece di richiamare pagine HTML si chiameranno servizi. Ad esempio invece di ottenere una pagina HTML con lo stato del mio conto corrente potrei ricevere un file XML con gli stessi dati, che a quel punto potrei processare con qualsiasi programma in grado di leggere quel formato, programma che potrebbe benissimo non essere un browser. Lo stesso programma potrebbe invocare un metodo del servizio per effettuare un bonifico, di nuovo senza dover passare per un browsers e HTML. Con i web services è finalmente possibile separare i dati dall'interfaccia.

  • - Scritto da: ldsandon

    > I web services sono l'esatto contrario: sono
    > un meccanismo di "remoting" (invocazione
    > remota di codice) e non una "interfaccia"
    > come HTML. L'unico punto in comune è

    Ti sfugge il concetto di web-service: un web-service *NON* è l'applicazione in sè (e.g. il cgi-bin che "esegue" il servizio), ma è l'insieme *astratto* delle sue componenti (protocollo, bussiness-logic, registro etc.).

    > che usano HTTP per la comunicazione
    > client/server (e per questo sono poco
    > performanti, per ora).
    > Sono perfettamente utilizzabili senza un
    > browser, anzi un browser non serve a nulla
    > perché non è in grado di
    > utilizzarli.

    ??? Da quando?

    > Il vantaggio di SOAP è di essere uno
    > standard indipendente dalla piattaforma (i
    > metodi di un web services scritto in java
    > sono facilmente invocabili da
    > un'applicazione nativa Windows o Linux, e
    > viceversa) e di usare HTTP come trasporto e

    Usare _anche_ l'http. Ti manca il concetto di binding.

    > quindi di passare agevolmente attraverso i
    > firewall. Potrebbero permettere di costruire
    > agevolmente applicazioni distribuite che
    > sfruttino servizi disponibili in rete, ma
    > potrebbero anche segnare la fine del browser
    > così come lo conosciamo. Invece di
    > richiamare pagine HTML si chiameranno
    > servizi. Ad esempio invece di ottenere una
    > pagina HTML con lo stato del mio conto
    > corrente potrei ricevere un file XML con gli
    > stessi dati, che a quel punto potrei
    > processare con qualsiasi programma in
    > grado di leggere quel formato, programma che
    > potrebbe benissimo non essere un browser. Lo
    > stesso programma potrebbe invocare un metodo
    > del servizio per effettuare un bonifico, di
    > nuovo senza dover passare per un browsers e
    > HTML. Con i web services è finalmente
    > possibile separare i dati dall'interfaccia.

    Hai una visione un po' riduttiva dei web-services.


    ==================================
    Modificato dall'autore il 21/04/2004 10.48.50
  • > Ti sfugge il concetto di web-service: un

    Sfugge a te: un web services è una classe che espone una interfaccia invocabile da remoto. Non è nient'altro che una forma di RPC con la sua serie di protocolli - niente di più, niente di meno.

    > ??? Da quando?

    Quale browser capisce SOAP? O è in grado di creare da solo un'interfaccia per un WS? Un browser non è in grado di essere un consumer, è costruito per parsare HTML e eseguire Javascript, più di questo non fa. Casomai il web server può usare un web service per creare una pagina HTML per il client, ma questa è un'altra storia.

    > Hai una visione un po' riduttiva dei
    > web-services.

    Tu ne hai una visione da commerciale, direi, i web services che salvano il mondo fino alla prossima idea da vendere.


  • - Scritto da: ldsandon
    > > Ti sfugge il concetto di web-service: un
    >
    > Sfugge a te: un web services è una
    > classe che espone una interfaccia invocabile
    > da remoto. Non è nient'altro che una
    > forma di RPC con la sua serie di protocolli
    > - niente di più, niente di meno.

    E questa definizione dove l'hai trovata, su "Web Service for dummies"???
    Prova a leggere qualcosa del w3c, per esempio: http://www.w3.org/TR/2003/WD-ws-gloss-20030808/

    > > ??? Da quando?
    >
    > Quale browser capisce SOAP? O è in

    Ma hai mai sentito parlare di binding? Tutti i linguaggi creati per i WS hanno dei biniding per l'HTML (molti hanno binding _solo_ per html).

    > > Hai una visione un po' riduttiva dei
    > > web-services.
    >
    > Tu ne hai una visione da commerciale, direi,
    > i web services che salvano il mondo fino
    > alla prossima idea da vendere.

    Io non devo vendere prorpio niente, i WS sono solo l'argomento della mia tesi...

  • - Scritto da: logitech
    >
    > Ma hai mai sentito parlare di binding? Tutti
    > i linguaggi creati per i WS hanno dei
    > biniding per l'HTML (molti hanno binding
    > _solo_ per html).

    Casomai sarà HTTP. Comunque consiglio a tutti di vedere cosa stanno facendo MS e IBM con Indigo e l'Enterprise Bus.

    non+autenticato
  • > E questa definizione dove l'hai trovata, su
    > "Web Service for dummies"???

    No, non leggo i libri che leggi tu...


    > Ma hai mai sentito parlare di binding? Tutti
    > i linguaggi creati per i WS hanno dei
    > biniding per l'HTML (molti hanno binding
    > _solo_ per html).

    Sono solo un modo di utilizzare i WS, e non quello principale.

    > Io non devo vendere prorpio niente, i WS
    > sono solo l'argomento della mia tesi...

    Io ci lavoro con i WS... quando avrai imparato qualcosa di serio ripassa....



  • - Scritto da: ldsandon
    > > E questa definizione dove l'hai
    > trovata, su
    > > "Web Service for dummies"???
    >
    > No, non leggo i libri che leggi tu...

    Dei libri che leggo io non riusciresti a capire nemmeno il titolo...

    > > Io non devo vendere prorpio niente, i WS
    > > sono solo l'argomento della mia tesi...
    >
    > Io ci lavoro con i WS... quando avrai
    > imparato qualcosa di serio ripassa....

    Fammi capire...
    Hai fatto un corso di due settimane su "Cosa sono i WS?" finanziato da qualche fondo sociale, poi hai iniziato a lavorare ripetendo le tre cose tre che ti avevano spiegato ai clienti, su cui facevi una buona impressione, perchè per loro è già difficile configurare la posta elettronica.
    A quel punto hai pensato di sapere tutto di informatica...

    Caro mio, le cose serie le impari nei dipartimenti. Noi stiamo lavorando su delle implementazioni di WS usando specifiche che sono ancora degli RFP, perchè bisogna portarsi avanti.
    Ci sono un sacco di problematiche dietro alle interfacce grafiche che i cosidetti "programmatori" amano usare.
    Se sei invidioso di che fa ricerca, sfogati sui tuoi clienti.
  • > Dei libri che leggo io non riusciresti a
    > capire nemmeno il titolo...

    Leggi libri in cinese antico? Sì, lì ho dei problemi.

    > Hai fatto un corso di due settimane su "Cosa
    > sono i WS?" finanziato da qualche fondo
    > sociale, poi hai iniziato a lavorare

    No, al massimo i corsi di programmazione io li tengo.

    > Se sei invidioso di che fa ricerca, sfogati
    > sui tuoi clienti.

    Invidioso di un pivello? Suvvia, aspetta tu di trovarne dei clienti... con questo atteggiamento non so quanta strada farai. Impara a rispettare il tuo prossimo e le sue idee. Ti aiuterà nella vita.

  • - Scritto da: ldsandon
    > No, al massimo i corsi di programmazione io
    > li tengo.

    Se vantarti in un forum come quello di PI fa aumentare la tua autostima, fa pure, ma ti dà un'aria da sfigato...

    > Invidioso di un pivello? Suvvia, aspetta tu
    > di trovarne dei clienti... con questo

    Io i clienti li ho già, solo che non sono "lo scopo della mia vita", ma semplicemente un modo per raccimolare qualche soldo.
    Essere ingegneri e fare ricerca allo stato dell'arte permette di scegliersi i clienti...

    > atteggiamento non so quanta strada farai.
    > Impara a rispettare il tuo prossimo e le sue
    > idee. Ti aiuterà nella vita.

    Ah sì? Sono io quello che ha sparato a zero sugli autori del WSDL? O sei stato tu? E' questo il tuo concetto di rispetto?
    Ah, ma ho capito: tu tieni corsi di programmazione, sei molto meglo di quelli dell'WSDL!!!!
  • > Se vantarti in un forum come quello di PI fa
    > aumentare la tua autostima, fa pure, ma ti
    > dà un'aria da sfigato...

    Sei tu che ti vanti attaccando gli altri... e questo ti dà un'aria da sfigato invidioso...

    > Io i clienti li ho già, solo che non
    > sono "lo scopo della mia vita", ma
    > semplicemente un modo per raccimolare
    > qualche soldo.

    A parte l'ortografia, solo per i commerciali i clienti sono lo scopo della vita...

    > Essere ingegneri e fare ricerca allo stato
    > dell'arte permette di scegliersi i
    > clienti...

    Stato dell'arte della ricerca i web services? Sorride ROTFL!


    > Ah sì? Sono io quello che ha sparato
    > a zero sugli autori del WSDL? O sei stato
    > tu? E' questo il tuo concetto di rispetto?

    Io sparare a zero sugli autori del WSDL? Ma hai mai imparato a leggere? Io ho solo sottolineato che l'affermazione riportata nel testo dell'articolo era esagerata. Poi sei tu che hai cominciato a sparare a zero su di me... come ogni zelota novellino.

    > Ah, ma ho capito: tu tieni corsi di
    > programmazione, sei molto meglo di quelli
    > dell'WSDL!!!!

    Mai detto questo. Ma a leggere quello che hai scritto manie di grandezza le hai solo tu.

  • - Scritto da: ldsandon
    > > Se vantarti in un forum come quello di
    > PI fa
    > > aumentare la tua autostima, fa pure, ma
    > ti
    > > dà un'aria da sfigato...
    >
    > Sei tu che ti vanti attaccando gli altri...

    Riporta precisamente dove mi vanto attacando gli altri: io dico ciò che faccio notare a chi si sopravvaluta dove sbaglia.

    > e questo ti dà un'aria da sfigato
    > invidioso...

    Quando mi ridurrò ad essere invidioso di una persona come te, sarà l'ora di suicidarmi!

    > A parte l'ortografia, solo per i commerciali
    > i clienti sono lo scopo della vita...

    A parte che dovresti farmi notare *quale* errore di ortografia ho commesso, noto che ritorni continuamente con questa storia dei "commerciali". Mi sa tanto che sono l'incubo della tua piccola vita!

    > > Essere ingegneri e fare ricerca allo
    > stato
    > > dell'arte permette di scegliersi i
    > > clienti...
    >
    > Stato dell'arte della ricerca i web
    > services?Sorride ROTFL!

    Hai problemi di comprensione, adesso non mi stupiscono più tutte le cavolate che spari. Io ho affermato che faccio ricerca allo stato dell'arte sui WS (infatti qui in dipartimento circolano perlopiù RFP), non che i WS sono lo stato dell'arte della ricerca!!!!

    > > Ah sì? Sono io quello che ha
    > sparato
    > > a zero sugli autori del WSDL? O sei
    > stato
    > > tu? E' questo il tuo concetto di
    > rispetto?
    >
    > Io sparare a zero sugli autori del WSDL? Ma
    > hai mai imparato a leggere? Io ho solo

    Allora, nel tuo intervento iniziale parti citando le affermazioni dell'OASIS, dopodichè affermi "I web services sono l'esatto contrario". Ogni altro commento mi sembra superfluo.

    > Mai detto questo. Ma a leggere quello che
    > hai scritto manie di grandezza le hai solo
    > tu.

    Sì, bravo. Torno al tuo lavoro e pensa al tuo nemico giurato: "il commerciale"!!!
  • Finchè non ho WS-Transaction standardizzaro e un framework (+ server) che mi permetta di implementarlo, io non scrivo applicazioni con WS. Sia in Java che in .NET.

    Più di qualche RPC autenticata, senza le transazioni, non si può fare.
    Mi sembra chiaro.

    We're waiting...
    non+autenticato
  • Confermo.

    Inoltre come per tutte le applicazioni ed i componenti del mondo, bisognerà aspettare che questi web-services siano utilizzati da una massa critica di programmatori e di utenti, e infine vedere quanto resistono agli attacchi hacker.

    Farsi i propri componenti o scegliersi le proprie tecnologie aumenta la sicurezza, disorientando chi vuole attaccare un servizio. Affidarsi tutti a componenti standard, che poi magari vengono "bucati", cosa provocherebbe?

    Romeo

    - Scritto da: Anonimo
    > Finchè non ho WS-Transaction
    > standardizzaro e un framework (+ server) che
    > mi permetta di implementarlo, io non scrivo
    > applicazioni con WS. Sia in Java che in
    > .NET.
    >
    > Più di qualche RPC autenticata, senza
    > le transazioni, non si può fare.
    > Mi sembra chiaro.
    >
    > We're waiting...
    non+autenticato
  • concordo in pieno

    massimo
    non+autenticato
  • - Scritto da: Anonimo
    > Confermo.
    > Farsi i propri componenti o scegliersi le
    > proprie tecnologie aumenta la sicurezza,
    > disorientando chi vuole attaccare un
    > servizio. Affidarsi tutti a componenti
    > standard, che poi magari vengono "bucati",
    > cosa provocherebbe?

    DA quando una specifica proprietaria e' piu' affidabile di una standard pubblica?
    Non c'e' nessuna correlazione.
    Le dimostrazioni si sprecano.
    non+autenticato

  • - Scritto da: Anonimo
    > Confermo.
    >
    > Inoltre come per tutte le applicazioni ed i
    > componenti del mondo, bisognerà
    > aspettare che questi web-services siano
    > utilizzati da una massa critica di
    > programmatori e di utenti, e infine vedere
    > quanto resistono agli attacchi hacker.
    >
    > Farsi i propri componenti o scegliersi le
    > proprie tecnologie aumenta la sicurezza,
    > disorientando chi vuole attaccare un
    > servizio. Affidarsi tutti a componenti
    > standard, che poi magari vengono "bucati",
    > cosa provocherebbe?

    WS-X sono protocolli (in forma XML). Tu stai parlando di buchi sulle implementazioni degli stack di protocolli. E' un'altra cosa.

    Quello che dicevo io (sono l'autore del primo post) è che finchè non ho anche la specifica di WS-Transaction e le correlate a posto, neanche ci penso a progettare qualcosina.....
    non+autenticato