In Bezug auf die Sicherheit von Webdiensten ist kürzlich ein Thema aufgetaucht. Nicht unbedingt die Teile von WSE 3.0, an die Sie vielleicht denken, sondern eher die Sicherung der Dienste innerhalb eines Unternehmens.So implementieren Sie Sicherheit für Webdienste in einem Unternehmen
Zum Beispiel. Wir haben über die Möglichkeit gesprochen, bestimmte Funktionen für das gesamte Unternehmen über einen oder mehrere Web-Service-Endpunkte verfügbar zu machen. Das Problem hängt davon ab, wer auf die Webdienste zugreifen kann. Ich sehe, dass sie auf drei verschiedene Arten zugegriffen werden:
- Von einer Website. Diese Website kann die Identität des Benutzers, der auf die Website zugreift, annehmen oder nicht. Daher können Aufrufe an den Webdienst als echter Benutzer, als IIS-Dienstkonto oder als ein anderes Dienstkonto, das wir aus anderen Gründen annehmen, als
- von a Stapelprogramm. Auch läuft auf einem Server, aber in der Regel als Dienstkonto
- Durch eine Windows-Anwendung auf dem Desktop des Benutzers ausgeführt wird, wobei in diesem Fall der Anmeldeinformationen des Benutzers
nun verwendet werden, in der Theorie uns konnte Lassen Sie die Webdienste für jedermann offen. Ignoranz ist Glückseligkeit, oder? Aber wenn ein Angreifer Zugang zu unserem Netzwerk erhält und die Webdienste entdeckt, hat er ein Freibrief für geistiges Eigentum. So offen ist nicht gut.
Wir könnten sie mit einem ausgeklügelten, selbst entwickelten Schema zur Überprüfung von IP-Adressen, Benutzernamen usw. sperren. Aber das scheint ein administrativer Albtraum zu sein.
Irgendwelche Gedanken? Wir werfen ein paar Ideen auf, aber ich wollte sehen, ob jemand diese Art von Problem bereits gelöst hat.
Dank
Warum sollten Sie WSE 3.0 überhaupt verwenden? Es ist veraltet. –