Mamy plik SOAP WSDL, który jest widoczny dla użytkownika publicznego. Niedawno niektórzy członkowie naszej organizacji zakwestionowali, czy budzi to obawy dotyczące bezpieczeństwa.Publiczny plik SOAP WSDL jest problemem z zabezpieczeniami?
Czy ktoś widzi, że plik WSDL jest widoczny dla publiczności jako zagrożenie bezpieczeństwa? Wszystkie dostępne funkcje wymagają zalogowanego użytkownika.
Krótka odpowiedź brzmi: jeśli opublikowanie pliku WSDL stanowi problem z zabezpieczeniami, oznacza to, że występuje problem z zabezpieczeniem, nawet jeśli nie publikujesz pliku WSDL, i musisz rozwiązać ten problem, a nie tylko go ukryć.
WSDL właśnie wyjaśnia protokół. Nie możesz zakładać, że twój protokół jest tajemnicą; napastnicy mogą nadal odtwarzać go bez użycia WSDL. Nigdy nie można założyć, że klient po drugiej stronie połączenia sieciowego jest "twoim" klientem. Musisz założyć, że to atakujący i zaprojektować swój system, aby poradzić sobie z tym faktem.
Ukrywanie pliku WSDL jest niewielką formą zaciemniania, która nie zapewnia poważnego bezpieczeństwa. Ale ... jeśli ukrywanie WSDL jest bardzo łatwe i nie wymaga żadnej dodatkowej pracy z Twojej strony, z pewnością, dlaczego nie? Ukrycie go może potencjalnie uniemożliwić atakom na ciebie niektóre rodzaje automatycznych skryptów. I stwarza jeden dodatkowy mały ból głowy dla atakujących.
Jednym z głównych zagrożeń związanych z ukryciem pliku WSDL jest to, że może powodować niedobory u programistów, którzy uważają, że plik WSDL jest tajny. Jeśli masz zespół, dla którego może to być problem, chciałbym go upublicznić, żeby był skupiony.
Innym poważnym niebezpieczeństwem jest to, że sprawia, że system jest trudniejszy do utrzymania (co utrudnia np. Aktualizację). Jeśli tak jest, absolutnie nie ukryłbym tego. Dodatkowa złożoność w przypadku klientów z pewnością jest większym ryzykiem bezpieczeństwa niż publiczny WSDL.
Dzięki, świetna odpowiedź! –