XMLセキュリティの信頼と脅威モデル入門

WebサービスあるいはRESTのアプリケーションで使われるSOAP/XMLインターフェースのセキュリティに関する入門記事。
XML Security Trust and Threat Models for Dummies | XML Journal
筆者はCrosscheck NetworksのVPとのことだが、元Forum Systemsの創立者。2009年5月にCrosscheckがForumを買収していた。へぇ~。今まで頑張っていたことがオドロキ。
Crosscheckのホームページより http://www.crosschecknet.com/ :
Commercial SOA Products
Build | Test | Secure
We are a product and services company dedicated to the successful deployment of SOA using traditional and cloud computing infrastructures. Our products govern over 1 billion transactions per day and are used by over 50,000 industry professionals in 42 countries. We provide service testing, virtual service simulation, identity managment, and security enforcement of services using patented, industry proven products. Let our technology lead the way to your SOA success.
記事の骨子
3つの脅威:

  • DOS攻撃 – 特にXMLでは不正なコーディングをした小さなデータでもDOS状態を作れる
  • ウィルス – XMLを利用して繁殖するウィルスあるいはワームが出現している
  • SQLインジェクション – データ取得のために使われるXMLリクエストにSQLを挿入される

3つの信頼:

  • プライバシー – 暗号化によって達成される、秘匿性の事だと思う
  • 完全性 – 署名と検証によって達成される
  • ID – AAA(認証、認可、アクセス制御)、SSL tokens, SAML tokens,WS-Username tokens

コメントを残す

メールアドレスが公開されることはありません。