WS-Security (Seguridad en Servicios Web) es un protocolo de comunicaciones que suministra un medio para aplicar seguridad a los Servicios Web.[1] En abril de 2004 el estándar WS-Security 1.0 fue publicado por Oasis-Open. En 2006 fue publicada la versión 1.1.
Originalmente desarrollado por IBM, Microsoft, y VeriSign, el protocolo es ahora llamado oficialmente WSS y está desarrollado por un comité en Oasis-Open.
El protocolo contiene especificaciones sobre cómo debe garantizarse la integridad y seguridad en mensajería de Servicios Web. El protocolo WSS incluye detalles en el uso de SAML y Kerberos, y formatos de certificado tales como X.509.
La Integridad de datos y confidencialidad podrían también garantizarse sobre Servicios Web a través del uso de la Transport Layer Security (TLS), por ejemplo enviando mensajes sobre HTTPS. Esto puede reducir significativamente la sobrecarga, por ejemplo eliminando la necesidad de codificar claves y firmas de mensaje en ASCII antes de enviar. La parte negativa de usar TLS sería si los mensajes necesitaran pasar a través de un servidor proxy, como si fuera necesario ver la petición para enrutado. En tal caso, el servidor vería la petición que llega del proxy, no del cliente; esto podría ser solventado si el proxy tiene una copia de la clave y certificado del cliente, o teniendo un certificado de firmado de confianza para el servidor, con el cual podría generar un par clave/certificado que coincida con aquellos del cliente. Sin embargo, el hecho de que el proxy está operando el mensaje significa que no asegura la seguridad extremo a extremo, sino que solo asegura la seguridad punto a punto.
WS-Security incorpora características de seguridad en el encabezado de un mensaje SOAP, trabajando en la capa aplicación. Así asegura seguridad extremo a extremo.
Especificaciones asociadas
Las siguientes especificaciones borrador están asociadas con WS-Security:
Varghese, Jinson (19 de octubre de 2020). «Web Application Security Testing - A Comprehensive Guide». www.getastra.com(en inglés estadounidense). Consultado el 23 de diciembre de 2021.
Enlaces externos
OASIS Web Services Security TC (Contiene enlaces para descargar los documentos de especificación)
Publicaciones de prensa sobre WS-Security
Perfil de Seguridad Básico WS-I
Documentación de Seguridad de Servicios Web
WSS4J (Implementación Java WS-Security de Apache)
El alto costo de WS-Security
Utilización Granular de WS-Security
Datos:Q1064732
Octubre 21, 2022
security, seguridad, servicios, protocolo, comunicaciones, suministra, medio, para, aplicar, seguridad, servicios, abril, 2004, estándar, publicado, oasis, open, 2006, publicada, versión, originalmente, desarrollado, microsoft, verisign, protocolo, ahora, llam. WS Security Seguridad en Servicios Web es un protocolo de comunicaciones que suministra un medio para aplicar seguridad a los Servicios Web 1 En abril de 2004 el estandar WS Security 1 0 fue publicado por Oasis Open En 2006 fue publicada la version 1 1 Originalmente desarrollado por IBM Microsoft y VeriSign el protocolo es ahora llamado oficialmente WSS y esta desarrollado por un comite en Oasis Open El protocolo contiene especificaciones sobre como debe garantizarse la integridad y seguridad en mensajeria de Servicios Web El protocolo WSS incluye detalles en el uso de SAML y Kerberos y formatos de certificado tales como X 509 La Integridad de datos y confidencialidad podrian tambien garantizarse sobre Servicios Web a traves del uso de la Transport Layer Security TLS por ejemplo enviando mensajes sobre HTTPS Esto puede reducir significativamente la sobrecarga por ejemplo eliminando la necesidad de codificar claves y firmas de mensaje en ASCII antes de enviar La parte negativa de usar TLS seria si los mensajes necesitaran pasar a traves de un servidor proxy como si fuera necesario ver la peticion para enrutado En tal caso el servidor veria la peticion que llega del proxy no del cliente esto podria ser solventado si el proxy tiene una copia de la clave y certificado del cliente o teniendo un certificado de firmado de confianza para el servidor con el cual podria generar un par clave certificado que coincida con aquellos del cliente Sin embargo el hecho de que el proxy esta operando el mensaje significa que no asegura la seguridad extremo a extremo sino que solo asegura la seguridad punto a punto WS Security incorpora caracteristicas de seguridad en el encabezado de un mensaje SOAP trabajando en la capa aplicacion Asi asegura seguridad extremo a extremo Indice 1 Especificaciones asociadas 2 Vease tambien 3 Referencias 4 Enlaces externosEspecificaciones asociadas EditarLas siguientes especificaciones borrador estan asociadas con WS Security WS SecureConversation WS Federation WS Authorization WS Policy WS Trust WS PrivacyVease tambien EditarWS I Basic Security Profile Servicios Web SAML X 509Referencias Editar Varghese Jinson 19 de octubre de 2020 Web Application Security Testing A Comprehensive Guide www getastra com en ingles estadounidense Consultado el 23 de diciembre de 2021 Enlaces externos EditarOASIS Web Services Security TC Contiene enlaces para descargar los documentos de especificacion Publicaciones de prensa sobre WS Security Perfil de Seguridad Basico WS I Documentacion de Seguridad de Servicios Web WSS4J Implementacion Java WS Security de Apache El alto costo de WS Security Utilizacion Granular de WS Security Datos Q1064732 Obtenido de https es wikipedia org w index php title WS Security amp oldid 140882942, wikipedia, wiki, leyendo, leer, libro, biblioteca,
