2

2 日前に SOAP について聞いたことがあり、それ以来、サーバーとの通信に成功しています。しかし、私はSOAPプロトコルに精通していません

私のアプリは機密データをサーバーに転送しますが、メインアプリの作成者が使用する方法が十分に安全かどうか疑問に思っていました。

<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
  <soap12:Body>
    <GetArtigoRef xmlns="http://www.*********.com:**/">
      <username>string</username>
      <password>string</password>
      <referencia>string</referencia>
    </GetArtigoRef>
  </soap12:Body>
</soap12:Envelope>

お気づきかもしれませんが、ユーザー名とパスワードは最初の 2 つのフィールドにプレーン テキストとして配置されており、さらにかなり明確に識別されています。

PHPとsoapcallを介してデータを送信する際に、どのタイプの暗号化も使用していません。

これから何を期待できますか?心配事はありますか、それともリラックスできますか?

あなたの啓発に感謝します!みんなで乾杯。

4

3 に答える 3

0

SOAPをhttpsSで呼べば十分なセキュリティです。

于 2013-10-05T20:01:59.640 に答える
0

これらのメッセージを処理するサーバーは、SSL を使用する必要があります。また、自己署名証明書ではなく、実際の証明書を持っている必要があります。さらに、古いプロトコルを許可しないように Web サーバーを構成する必要があります (OWASP-CM-001 を参照)。そうしないと、あらゆる種類の不快感に対して脆弱になります。

これは業界標準であり、大したことではありません。SSL は、資格情報を安全に処理するために絶対に必須です。

于 2013-10-08T03:11:38.767 に答える
0

そう言えば、それがソープサーバーのスタンダードだと思います。http* s *よりも http の方が心配です。それは私が変更したいことの1つです。

第二に、これは接続しているサーバーと関係があります。サーバーに事前にソルトされたパスワードを送信し、それをソルトすることを想像してください:)いくつかの興味深いテストのために行うことができます.

私の知る限りでは、LDAP やその他の SOAP デプロイメントを使用した場合でも、このように機能します。パスワードは常にプレーンテキストで送信されます =\

おそらく、誰かがサーバーと通信するためのより安全な方法をアドバイスできるでしょう。

于 2013-10-05T20:08:57.193 に答える