Sicherheit in Web Services Addressing
Es ist sehr wichtig, dass Datenübertragungen, die Web Services Addressing (WS-Addressing) verwenden, ordnungsgemäß gesichert werden, und zwischen den Übertragungsteilnehmern eine ausreichende Ebene der Vertrauenswürdigkeit besteht. Sichere Datenübertragungen können erzielt werden, indem die Nachrichtenadressierungseigenschaften von WS-Addressing signiert und die Endpunktreferenzen verschlüsselt werden.
Führen Sie diese Aktionen für beide unterstützten Adressierungsnamespaces http://www.w3.org/2005/08/addressing und http://schemas.xmlsoap.org/ws/2004/08/addressing aus, auch wenn voraussichtlich nur einer der beiden Namespaces verwendet werden soll.
Nachrichtenadressierungseigenschaften von WS-Addressing signieren
Sie können ein Assembliertool verwenden, um die Nachrichtenadressierungseigenschaften anzugeben, die signiert werden müssen oder deren Signatur in ankommenden Anforderungen geprüft werden muss. Der Empfänger der Nachricht kann das Vorhandensein dieser überprüfbaren Signatur als Nachweis dafür akzeptieren, dass die abgehende Nachricht aus einer vertrauenswürdigen Quelle stammt. In ähnlicher Weise bewirkt das Fehlen einer überprüfbaren Signatur in den angegebenen Adressierungseigenschaften der ankommenden Nachricht, dass die Nachricht mit einem SOAP-Fehler zurückgewiesen wird.
Endpunktreferenzen verschlüsseln
Endpunktreferenzen können als Teil des SOAP-Headers oder des SOAP-Nachrichtenhauptteils (Body) verschlüsselt werden. Alternativ dazu kann die Notwendigkeit der Verschlüsselung dadurch vermieden werden, dass keine sensiblen Informationen in die Eigenschaften [address] (Adresse) oder [reference parameters] (Referenzparameter) der Endpunktreferenz aufgenommen werden.
Synchrones Nachrichtenaustauschmuster verwenden
Diese Methode gilt nur für JAX-WS-Anwendungen.
Wenn Sie die WS-Addressing-Informationen in der SOAP-Nachricht nicht mit einer oder mehreren der vorher genannten Methoden schützen und wenn WS-Security nicht aktiviert ist, könnten die Elemente "ReplyTo" und "FaultTo" der SOAP-Nachricht dazu verwendet werden, Nachrichten an einen Dritten zu senden und potenziell an einer Denial-of-Service-Attacke beteiligt zu sein. Zur Vermeidung derartiger Attacken sollten Sie einen WS-Addressing-Richtlinientyp festlegen und so konfigurieren, dass nur synchrones Messaging verwendet wird. Außerdem sollten Sie WS-Policy aktivieren, damit diese Anforderung den Clients mitgeteilt wird.