On Thursday 26 of January 2006 12:08, Martin Kuba wrote: > > Autentizace patrně bude nutná, ale HTTP autentizaci umí i AXIS a citlivá > > data se přenášet nebudou. Jinak by přece ale stačil SSL? To je další věc, > > kterou jsem zatím nepochopil. Proč pro SOAP existuje speciální rozšíření > > týkající se šifrování, když to jde hodit přes SSL. Ale předpokládám, že > > to bude kvůli rychlosti. > > Speciální šifrování pro SOAP neexistuje kvůli rychosti, je naopak velice > pomalé. Existuje ze dvou důvodů. SOAP je XML a v XML můžete chtít > šifrovat jen části zprávy, ne vždycky celou. A druhý důvod je, > že SSL neumí dokumenty podepisovat, jen šifrovat. A pokud > potřebujete zprávu podepsat, s SSL si nevystačíte a musíte > použít XML-Signature.
Abych dodal trochu dalsi teorie, tak SSL je transportni sekurita, kdezto WS-Security je datoza sekurita. Zasadni rozdil je v tom, ze pouzijete-li transportni sekuritu, tak mate dve skupiny lidi/stroju: - ti, kteri nejsou na ceste zpravy a ze zpravy nevidi vybec nic - ti ,kteri maji se zpravou co do cineni a ti vidi zpravu celou. U datove sekurity zpravu mohou videt vsichni, mohou s ni ruzne manipulovat, ale pouze ten, komu je urcena, si ji muze precist. XML-Signature pak typicky slouzi k tomu, aby si overil, zda nekdo nemanipuloval se zasifrovanymi daty. Hlavni rozdil: priklad: proxy. Pri transportni sekurite, ktera jde pres proxy, musi proxy umet behat pres SSL, spravovat klice atd, ale hlavne si ji muze precist. Musite mit tedy velice duveryhodnou a bezpecnou proxy. Pri datove sekurite muzete pouzit JAKOUKOLI proxy, protoze ta, at bude chtit sebevic (nebude-li SETSAKRA rychla, aby v rozumnem case zvladla rozlousnkout sifru), si zpravu neprecte, ale vesele muze menit WS-Addressingove hlavicky, pridavat vlastni timestampy atd. Ale jak uz uvedl Makub - pri dostatecne kratkych zpravach je transportni sekurita vzdy rychlejsi. Protipriklad: posilate nezasifrovany BMPckovy plakat usamy/madonny/vaska/... jako prilohu k platebnimu prikazu na poslani 3x10^8Kc onomu vasemu idolu ;-) SSL musi sifrovat vsechno vcetne gigoveho plakatu, kdezto WS-Securite staci zacifrovat par radek. -- Oto 'tapik' Buchta, [EMAIL PROTECTED] Senior Engineer, Systinet Corp, http://www.systinet.com
