设计差异引发 Web Services 安全性问题

准备新的套件

随着Web Services应用的发展，厂商们试图得出一套成型的方法来保证应用层信息安全。“厂商们已经开发了一整套标准来保护Web Services事务处理的安全”，Forrester研究中心的Randy Heffner说道。

这些成套的标准被称为WSS框架（Web Services Security framework），它能够保证SOAP传输的安全性，SOAP是目前最流行的一种Web Service协议。信息大都是使用HTTP协议传输，但原则上可以使用任何一种协议。WSS框架使得公司能够加密、签名和认证SOAP消息。

许多组织实现了这个层面上的安全性。“过去的几年，几乎所有的产品和开发工具都支持WSS”，Burton Group的副总裁Thomas Manes说道。

谁在另一端？

即使公司采取了这些措施，也仍然要面对安全漏洞。“现实是，公司需要一种方法知道Web Services事务处理的另一端是谁”，Heffner说道。

Liberty Alliance正致力于联合认证的研究，如果进行Web services通信的双方有同一种安全“信令”，一方就可以担保另一方的安全性。OASIS则致力于开发WS-Federation，它支持拥有不同类型的安全“信令”的双方的安全交易。

联合认证的研究正处于初期成型阶段，而且已经被许多公司的产品采用。目前的状况是：即使Web Services有安全漏洞，公司仍然通过配置使用它们。“有百分之六十的公司实现了自己的Web Services”，Zap Think的Bloomberg说道。

权衡风险 vs. 酬劳

大概有三分之一的企业使用Web Services和第三方客户合作者或者供应商进行信息交换。“公司有时宁可冒一定的风险，因为他们相对确定连接的另一方是安全的。”Heffner解释道。

另外，黑客目前不会把注意力集中在Web Services应用上。尽管取了迅速的发展，Web Services应用的数量仍然相对比较少。所以，黑客们目前还是把精力放在了利用诸如微软Windows操作系统等应用广泛的软件产品的安全漏洞上。

尽管Web Services的安全性不完美，但是由于其易用性，许多组织和公司都仍然愿意使用它。