torsdag, september 07, 2006

XMLs kompleksitet introducerer sikkerhedsrisici

Michael S. Mimoso hævder i denne artikel at XML sikkerhed i dag ikke drejer sig om crackers, ondsindet kode og lignende men om at fjerne kompleksiteten og den medfølgende performance-degradering, som introduceres af tunge autentifikationsmetoder.

Kravene til sikkerhed må ikke sætte noget krav til kunden/partneren om brug af specielle sikkerhedsløsninger. Det er et helt fundamentalt princip inden for Web Services, at alle partnerne skal kunne beholde deres eksisterende systemer, og standarderne vil så sikre, at de individuelle systemer kan arbejde sammen. Ved at integrere gennem abstraktionen af en enkelt sikkerhedsmodel gør man det muligt for virksomheder at udnytte deres eksisterende investering i sikkerhedsteknologi, samtidig med at man kan kommunikere med virksomheder, som bruger en anden teknologi. Langt det meste af tiden bruges sikkerhedssystemet internt, og det vil derfor være uøkonomisk at skulle lave specielle løsninger, når man skal kommunikere med eksterne partnere.

Selvom en virksomhed har lagt en stærk ring rundt omkring virksomheden, som forhindrer angreb udefra, er problemet med angreb indefra ikke håndteret. Disse angreb er ofte de mest skadelige og foretages af personer, der allerede har adgang til interne systemer. Derudover er få applikationsprogrammører blevet trænet inden for sikkerhed. Efterhånden som Web Services bliver lettere at udvikle og implementere, vil flere og flere ikke-sikkerhedsuddannede udviklere bruge dem, hvilket igen kan kontrolleres bedst ved at tage sikkerhedsspørgsmålene ud af programmørens hænder og i stedet håndtere dem separat.

Selvom Web Services tilføjer en ekstra dimension til sikkerhedsspørgsmålet, opbygger de også et nyt paradigme for at levere en gennemgående sikkerhedsservice på en konsistent og omkostningseffektiv måde på tværs af hele organisationen. De vil derfor på sigt selv være med til at løse problemet. Ved at opbygge en samlet sikkerhedsinfrastruktur, som leverer sikkerheds-Web Services , der kan forbruges af andre Web Services på tværs af organisationen og mellem handelspartnere, bliver det lettere at benytte sikkerhedsfunktionaliteter såsom autentificering, autorisation og kryptering. Det må forventes, at disse sikkerheds-Web Services vil blive brugt på et større antal ressourcer, end det er praktisk og økonomisk muligt i dag, fordi det vil være lettere for ikke-uddannede at benytte disse.

Michael S. Mimosos artikel kan findes her

Ingen kommentarer: