Accueil
 chercher             Plan du site             Info (English version) 
L'histoire de XML s'écrit en ce moment même. XMLfr vous aide à la suivre et à en dégager les tendances.Les listes de discussions XMLfr sont à votre disposition pour réagir sur nos articles ou simplement poser une question.Si vous ètes passionnée(e) par XML, pourquoi ne pas en faire votre métier ?XMLfr n'est heureusement pas le seul site où l'on parle de XML. Découvrez les autres grâce à XMLfr et à l'ODP.Les partenaires grâce auxquels XMLfr peut se développer.Pour tout savoir sur XMLfr.XMLfr sans fil, c'est possible !Pour ceux qui veulent vraiment en savoir plus sur XML.L'index du site.
 Manifestations XML francophones et internationales.L'actualité des affaires et stratégies XML.L'actualité des technologies XML.Les nouveautés et l'actualités de notre site.Pointeurs sur l'actualité XML sur d'autres sites, en français comme en anglais.


La sécurité de SOAP mise en doute.

Répondez à cet article.

Counterpane Internet Security  met en doute la sécurité du protocole SOAP, bâti sur HTTP pour pouvoir se faufiler à travers les firewalls.

Par Eric van der Vlist, Dyomedea.
vendredi 23 juin 2000

Cette analyse de Bruce Schneier rappelle le commentaire du W3C dont nous nous étions fait l'écho après la soumission de SOAP en tant que note W3C :

    "Nous pensons également que les aspects sécurité devraient jouer un rôle central dans le dispositif, car il est toujours plus difficile quand ce n'est impossible de rajouter la sécurité par ls suite."

Le problème est lié à l'architecture technique adoptée par SOAP.

Fort de l'expérience de nombreux protocoles qui, comme DCOM, n'ont jamais vraiment réussi à percer sur Internet notamment parce qu'il passaient laborieusement à travers les firewalls, SOAP a en effet décidé d'utiliser le protocole HTTP qui n'impose aucune contrainte de sécurité.

Lors d'une discussion sur la liste xml-dist-app, l'équipe SOAP a clairement expliqué qu'elle considérait que la gestion de la sécurité n'était pas du ressort du protocole mais des applications :

    "SOAP ne défini pas *une* règle de sécurité parce que nous nous attendons à ce qu'il y ait besoin de règles multiples et même une possibilité de négocier quel mécanisme utiliser en fonction du contexte (commerce, médical, etc.) mais que ce n'est pas à SOAP de gérer cela."

Cette vision optimiste de la sécurité sur Internet n'a donc pas convaincu Bruce Schneier qui écrit :

    "Puisqu' aucune sécurité n'est exigée au niveau de HTTP, XML, ou SOAP, il est facile de prédire que des personnes différentes vont construire et fournir des mécanismes de sécurité différents, créant des trous dans les différentes implémentations. SOAP est en train de percer un boulevard pour les problèmes de sécurité."

avant de conclure :

    "Les firewalls ont de bonnes raisons pour bloquer des protocoles tels que DCOM quand ils proviennet de sources non sûres. Les protocoles qui se faufilent au travers ne sont pas désirables."

Copyright 2000, Eric van der Vlist.


 

Mots clés.



L'histoire de XML s'écrit en ce moment même. XMLfr vous aide à la suivre et à en dégager les tendances.


Les documents publiés sur ce site le sont sous licence "Open Content"
Conception graphique
  l.henriot  

Conception, réalisation et hébergement
Questions ou commentaires
  redacteurs@xmlfr.org