I och med att vi skapar fler och fler Web Services och andra tjänster som tar emot XML-information från externa kunder/partner så öppnar vi också upp oss för en massa XML-attacker. Ett exempel är så kallade DOS-attacker där det kan räcka med att skicka ett enkelt XML-meddelanden som om det inte hanteras korrekt då sänker hela tjänster/servrar. Ett exempel är Billion Laughs attacken. Ett annat exempel är att skapa ett XML-meddelande med en massa (1000) name space deklarationer vilket gör att den stackars XML-parsern får problem. Grundproblemet är att vi låter våra applikationer göra en massa arbete innan dess att vi vet att meddelandena inte är det vi förväntade oss och då är det för sent. Lägger vi på WS-Security så innebär även detta att vi ytterligare ökar mängden arbete som behöver göras för att processa meddelandena. IBM:s lösning på problemet är att installera deras hårdvarubox DataPower som har hårdvara för att hantera XML och kryptering samt en inbyggd XML-brandvägg. Genom att sätta upp regler vilka typer av XML-meddelanden som accepteras (t.ex. att det högst får vara 100 name space deklarationer) och sedan processa meddelandena med en "tänkande" XML-parser så sparar man en massa jobb åt applikationen och förhindrar de flesta XML-attackerna. Det finns även utmärkt stöd för att hantera de olika WS-säkerhetsstandarderna för att på så sätt även slippa hantera detta i applikationerna.
Den allra häftigaste/dyraste versionen av DataPower har även stöd för att agera ESB och transformera meddelanden och konvertera mellan olika protokoll.
Enligt IBM bör alla som har viktiga tjänster som hanterar någon typ av XML utifrån Internet eller från externa parter köpa en DataPower-box och ställa framför tjänsterna. Efter att ha sett listan av olika XML-attacker samt vet hur prestandakrävande och svårt det är jobba med XML och säkerhet för Web Services så kan jag förstå hur dom tänker. Sedan blir det ju alltid en kostnads- och riskfråga om det är värt att investera i boxen, men att den skulle göra nytta på många ställen är helt klart.
Prenumerera på:
Kommentarer till inlägget (Atom)
Inga kommentarer:
Skicka en kommentar