I Web Services hanno sicuramente rivoluzionato il modo di pensare al software in rete. Va infatti dato atto a questa tecnologia di aver offerto un nuovo meccanismo di condivisione di servizi da parte di entità distribuite in rete.
La piccola serie di articoli che andremo a leggere non vuole entrare nel merito di come un Web Service può o deve essere sviluppato, né tanto meno dei vantaggi o degli svantaggi che questo tipo di tecnologia ha portato nel mondo dell’informatica.
L’obiettivo principale è infatti quello di discutere sul tema della sicurezza che, per motivi strutturali, è differente da quello riferito ad una qualsiasi altra applicazione Web.
Partendo dal presupposto che i WS sono costruiti su tecnologie basate sullo scambio di messaggi, vediamo quali sono le minacce di sicurezza a cui è necessario prestare attenzione:
- content-borne threat, che rappresentano le minacce al corpo del codice XML;
- schema poisoning, che consiste nella manipolazione dello schema dei Web Services;
- XML parameter tampering, una specializzazione del primo punto che permette di inserire contenuto non autorizzato all’interno dei messaggi;
- XML routing detours, che prevede la ridirezione dei dati indirizzati dal path XML.
A queste si aggiungono chiaramente tutte le tipologie di minacce tradizionali come l’alterazione del messaggio, le minacce sulla riservatezza dei contenuti, attacchi di tipo man-in-the-middle, furto d’identità, denial of service, ecc.
