Dans un article
intitulé "SOAP-DSIG and SSL", Satoshi Hada, pour IBM,
précise comment les technologies XML Signature et SSL peuvent
être combinées de façon à améliorer la sécurité des transactions.
Par Hervé AGNOUX, de la SARL diaam informatique, pour
XMLfr et le groupe XML Sécurité d'Annecy Multimédia.
jeudi 20 septembre 2001
En se donnant pour exemple une transaction par HTTP, des relations B2C et B2B, il analyse les
différentes contraintes relatives à la sécurité (authentification,
confidentialité, etc), et montre le positionnement, les avantages et les
inconvénients de différentes solutions (mot de passe, SSL,
etc).
Il explique comment procéder pour protéger au mieux les
transactions.
Pour lui, les technologies seules aident, mais ne peuvent
garantir la sécurité. Il relève 3 éléments que l'application doit apporter : le
signataire et l'émetteur d'un document doivent être une seule et même personne,
et il faut, dans la zone protégée par la signature, placer un identificateur
d'émission (anglais "nonce"), et l'identité du destinataire.
L'auteur fournit plusieurs exemples.
Satoshi Hada est l'auteur d'une note, acceptée par le W3C,
où il définit la signature d'un message SOAP.
Autres articles :
Copyright 2001,
Hervé AGNOUX.
|
