Sécurité
WS-Security: une réponse à tous les besoins de sécurité des Web Services ?
Microsoft attend encore un soutien plus large des éditeurs avant de soumettre sa proposition à un organisme de standardisation. (Mercredi 17 avril 2002)
     
A lire aussi :
Web Services: IBM et Microsoft s'attaquent aux questions de sécurité

"L'architecture WS-Security vise à faire face à l'ensemble des problématiques de sécurité auxquelles peut avoir faire face un processus transactionnel mis en oeuvre entre Web Services", résume Marc Gardette, architecte système chez Microsoft France. Fruit d'un travail commun entre Microsoft, IBM et Verisign, cette spécification qui a été proposée à l'origine par le géant de Redmond a pour but de décrire l'ensemble des pratiques de sécurité les plus couramment utilisées. Objectif à terme: élaborer une interface qui assure l'interopérabilité entre solutions de sécurité d'entreprise, reposant sur des technologies hétérogènes.

L'ensemble des méthodes prises en compte
WS-Security couvre en premier lieu l'authentification de la partie cliente, c'est-à-dire l'émetteur du message SOAP. Dans le cas d'une architecture de Web Services, ce client
peut renvoyer à un individu mais également à une application (ou composant) ou encore à une machine. D'où la prise en compte par la spécification de divers mécanismes : le couple identifiant/mot de passe, la méthode du jeton de sécurité et celles des certificats notamment. "Concrètement, WS-Security définit la manière de décrire au sein d'un message SOAP les droits utilisateur correspondant à ces différents systèmes de sécurité", détaille Marc Gardette. Comment éviter que la connexion entre deux Web Services ne soit "sur écoute" ? Ici, entre en jeu le chiffrement et la gestion de l'intégrité des messages, pour lesquels le langage propose un vocabulaire de gestion de certificats: des outils qui peuvent être utilisés aussi bien pour chiffrer un document électronique que pour le signer.

Après la publication des spécifications de WS-Security, les trois acteurs attendent pour l'heure que leur projet emporte l'adhésion d'autres partenaires avant de le soumettre à un organisme de standardisation -comme le W3C ou OASIS par exemple.

A lire aussi :
Web Services: IBM et Microsoft s'attaquent aux questions de sécurité
[Antoine Crochet Damais, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY