Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.04.2004 - 

Web-Services werden sicherer

Wichtiger Fortschritt für WS-Security 1.0

MÜNCHEN (CW) - Gute Nachrichten für Unternehmen, die Web-Services einsetzen möchten: Die Organization for the Advancement of Structured Information Standards (Oasis) hat zentrale Teile der Spezifikation für WS-Security 1.0 abgesegnet.

Als Norm akzeptiert wurden neben Elementen der Kernspezifikation auch Profile für Sicherheits-Tokens auf Basis von Benutzernamen und X.509. WS-Security bildet die Grundlage für weitere Sicherheitsstandards wie WS-Secure Conversation, WS-Trust und WS-Security Policy.

Diese sind notwendig, damit Anwender sichere Web-Services entwickeln können, die sich nicht nur intern, sondern auch über Unternehmensgrenzen hinweg nutzen lassen. Mittels Verfahren wie Verschlüsselung und digitalen Signaturen erfüllt WS-Security zentrale Forderungen für die Sicherheit von Web-Services wie Vertraulichkeit und Integrität der Übertragungen. Dabei können XML-Messages auch zwischen mehr als zwei Partnern geroutet werden. Außerdem ermöglicht WS-Security, dass Web-Services sicher über Firewall-Grenzen zu nutzen sind. Wegen der Verschlüsselung der Nachrichten stellt das bislang ein Problem dar.

WS-Security geht auf eine gemeinsame Initiative von Microsoft und IBM zurück: Im Rahmen ihrer Roadmap "Security in a Web-Services World" hatten beide Hersteller im April 2002 dargelegt, wie sie sich die Absicherung von Web-Services vorstellen. Mit der Unterstützung von Verisign reichten die Unternehmen die Grundlagen für WS-Security im Juni 2002 bei Oasis zur Standardisierung ein.

Das zuständige Technical Committee will sich nun den Profilen für Kerberos und Extensible Rules Markup Language (XRML) widmen. Wann diese verabschiedet und zur Nutzung mit der Kernspezifikation bereitstehen werden, steht noch nicht fest. Es wird jedoch erwartet, dass Hersteller jetzt damit beginnen, Produkte auf Basis von WS-Security zu entwickeln. (ave)