私が理解していることから:MEXエンドポイント/ WSDLがない場合、サービスは基本的に検出できません。あなたのデータ契約を知っている人だけがあなたのサービスを利用できるはずです。
この主張は水を保持しますか、それともインターネットの悪意のある住人がMEXエンドポイントを持たないサービスを呼び出す/消費する方法を理解する方法はありますか?
編集:アンドリューが指摘したように、この戦略は本当に安全であると見なされるべきではありません。外部の消費者とのQAフェーズでのランダムな悪用から安全であるかどうかについては、もっと疑問に思っています。
セキュアの定義によって異なります。これは、隠すことによるセキュリティのケースです。これは、個人がリストサービスを実行するのには問題ないかもしれませんが、金融アプリには受け入れられません。
SOAPなどは/that/複雑ではないため、ハッカーが一部の入力を推測することは不可能ではありませんが、サービスによっては、非常にまれです(数学的に実行不可能な場合もあります)。ただし、リバースエンジニアリングが可能なクライアントを配布する場合、または誰かがサービスの合法的な使用をパケットスニッフィングすることに成功した場合、ほぼ確実にそれを悪用する可能性がありますか?
人々(ハッカー)は、ポートスニファーを使用して、何かを聞いているポートを見つけます。次に、データを使用して調査を開始し、何が返ってくるかを確認します。これがSOAPメッセージを必要とするポートであることを理解するのにそれほど手間はかかりません。基本的に、返されるエラーはあなたに多くを教えてくれます。したがって、隠すことによるセキュリティはまったくセキュリティではなく、URLを公開することをお勧めします。
MEXの部分は、他の人がサービス契約を作成するのを助けるためだけにあり、要件はありません。たとえば、RESTまたはJSONサービスを例にとると、MEXエンドポイントの概念はありません。