Sicurezza per i Web Services: una panoramica

di Alessandro Vinciarelli

Pubblicato 4 Novembre 2008
Aggiornato 12 Febbraio 2018 20:48

In relazione ai problemi descritti nel precedente articolo, si rese necessario individuare una soluzione condivisa per contrastare le minacce informatiche senza pregiudicare l’interoperabilità e la fruibilità dei servizi.

Per questo, nell’ormai lontano 2002, venne portata a termine, ad opera di IBM, Microsoft e VeriSign, la generazione e successiva pubblicazione di una nuova specifica di sicurezza dedicata al fenomeno dei Web Services, la WS-Security.

Per la versione ufficiale dello standard, la 1.0, fu necessario attendere fino all’Aprile del 2004, mentre una seconda versione, la 1.1, venne pubblicata due anni dopo nel Febbraio 2006.

Il perno sul quale ruota tutta la WS-Security è il concetto di estensione ai messaggi SOAP standard, attraverso i quali è possibile costituire WSeb Server sicuri ottenendo quindi integrità, confidenzialità, ecc.

La forza di questa specifica, come si può vedere dallo schema che la descrive, è essenzialmente l’estrema flessibilità con la quale è possibile raggiungere il livello desiderato di sicurezza, anche aggiungendo accorgimenti specifici della realtà che stiamo implementando.

Di fatto quindi WS-Security non obbliga all’utilizzo di protocolli di sicurezza specifici, ma permette di utilizzare e integrare specifiche di sicurezza largamente diffuse o create ad-hoc per soddisfare le proprie esigenze.

Per chi fosse interessato ad approfondire aspetti relativi a questa tecnologia e al suo percorso il sito di riferimento per lo standard è il consorzio WS-Security, ma moltissime informazioni si trovano anche su siti molto noti come IBM, Microsoft, oltre che su pagine specifiche in funzione del linguaggio di programmazione come Java e .NET.