Bruce Schneier publie, dans le dernier numéro de CRYPTO-GRAM, une analyse des problèmes de sécurité des produits Microsoft qui écorne .NET et SOAP.
Par Edd Dumbill,
xmlhack - traduit par Eric van der Vlist,
Dyomedea (vdv@dyomedea.com).
mercredi 20 février 2002
A propos de SOAP, Bruce Schneier écrit: "il se peut que SOAP offre des mécanismes de sécurité suffisants et une bonne séparation entre programme et données, mais cependant Microsoft en fait la promotion pour son laxisme au niveau de la sécurité".
Affirmant que SOAP devrait "être retiré", il cite Microsoft:
"D'après la documentation Microsoft: "puisque SOAP s'appuie sur HTTP comme mécanisme de transport et que la plupart des firewalls laissent passer HTTP, vous n'aurez aucun problème à invoquer des services SOAP depuis un côté ou l'autre d'un firewall". C'est exactement cet état d'esprit de fonctionnalité au dessus des problèmes de sécurité qui doit être supprimé."
Les commentaires de Bruce Schneier paraissent pourtant ignorer l'état actuel des développements de SOAP et sont peut-être plus pertinents pris dans leur contexte plus général de séparation des programmes et des données et il semble que sa réaction soit provoquée d'avantage par l'argument maladroit de Microsoft à propos de la percée des firewalls que par la spécification SOAP elle même.
Le rappel qu'il faut veiller aux questions de sécurité n'est cependant pas inutile.
Autres articles:
Copyright 2002,
Edd Dumbill (auteur) et Eric van der Vlist (traducteur).
|
