Se encuentra en:
MADEJA » Subsistemas » Desarrollo » Seguridad » Servicios Web »

Definición de políticas

LIBP-0283 (Libro de pautas)

Utilizar WS-Policy para especificar las restricciones de seguridad de cada servicio web

WS-Policy es una especificación que permite a los proveedores y consumidores de Servicios Webs anunciar sus políticas y requisitos relativos a seguridad, calidad de servicio, latencia, etc. Se recomienda su uso, como elemento incluido dentro del WSDLs para especificar las restricciones de seguridad de cada Servicios Web.

Pautas

TítuloCarácter
Acceso a los metadatos de la políticaObligatoria
Políticas sin firmarNo Recomendada
Políticas débilesNo Recomendada
Información confidencial de la políticaObligatoria

Acceso a los metadatos de la política

Proteger la información sensible

Para evitar que un atacante pueda obtener información sensible, debemos exigir su autenticación en el sistema, omitir la información confidencial de la política o asegurar el acceso a la política. Para asegurar el acceso a los metadatos de la política, los proveedores pueden utilizar mecanismos de otras especificaciones de Servicios Web como WS-Security y WS-Metadata Exchange.

Volver al índice

Políticas sin firmar

Descartar políticas sin firmar

Los solicitantes deberán descartar aquellas políticas que no hayan sido firmadas por el proveedor, aceptando aquellas que presenten suficientes credenciales como para prevenir la falsificación o manipulación de las mismas. Además, deberán comprobar que la firma está realmente autorizada.

Volver al índice

Políticas débiles

Desechar las políticas débiles

Una política puede ofrecer varias alternativas que varían de débiles a fuertes. Los autores o proveedores de políticas deben desechar aquellas políticas débiles o configuraciones desactualizadas. Los solicitantes deben descartar aquellas políticas que no estén firmadas por el proveedor.

Volver al índice

Información confidencial de la política

Omitir la información confidencial de la política

Para evitar que un atacante pueda obtener información sensible debemos omitir la información confidencial de la política

Volver al índice

Contenidos relacionados

Recursos
Área: Desarrollo » Seguridad » Servicios Web
Código Título Tipo Carácter
RECU-0211 Conceptos de seguridad en los servicios WEB Especificación Recomendado
RECU-0597 WS-Policy Especificación Recomendado
‹ Confidencialidad e Integridad subir nivel No repudio ›