Sikkerhet stopper web-tjenester

Sikkerhet stopper web-tjenester

San Francisco: Utviklerne av web-tjenester (web services) skyver viktige sikkerhetsspørsmål foran seg.
-- De som begynte å lage standarder for web-tjenester for noen år siden visste om sikkerhetsutfordringene. Men de synes det er så komplekst at du utsetter problemet lengst mulig, sier Slava Kavsan, sjef for RSA Securitys engineering-virksomhet.

Kavsan er en av flere hundre innledere på den store sikkerhetskonferansen til RSA Security i San Francisco denne uken.

De 10.000 deltakerne ble ønsket velkommen med åpningstaler av blant annet RSA-sjef og Art Coviello og Microsofts Bill Gates. Men det er de mange små seminarene og spesialiserte foredragene som tilsammen gjør RSA-konferansen til verdens viktigste samling for alle som arbeider med it-sikkerhet.

Mangler funksjoner

Kavsan skal ikke holde sitt foredrag før på fredag, men Computerworld fikk en prat med ham allerede under åpningen tirsdag.

-- Web-tjenestene mangler viktige funksjoner på tre områder. Alle nødvendige standarder er ikke på plass og vi mangler verktøy for å administrere hvem og hva som skal ha tilgang til tjenester. Og sist, men ikke minst, mangler det mye innen sikkerhet, sier Kavsan.

Sikkerhet ble ikke tatt med da de grunnleggende standardene soap, uddi og wml ble definert. Dermed er tabben fra da internettprotokollene tcp/ip ble laget, gjentatt. Sikkerhetsstandardene IpSec og ssl kom først etter at de grunnleggende kommunikasjonsstandardene var ferdige.

-- Soap over ssl er et eksempel på en midlertidig løsning som er lite skalerbar og lite fleksibel. Men det fungerer i mindre sammenhenger.

Ifølge Kavsan er begge leire, altså Microsoft og Liberty, på samme nivå når det gjelder sikkerhet. Samarbeidet er utstrakt. I begge tilfeller er problemene midlertidig løst ved det Kavsan kaller "bump on the stack" og "bump on the wire".

Det er leverandørene av applikasjonsservere, som Bea, Microsoft, Sun og IBM, som kan legge et ekstra lag på programvarestakken. De sikrer kommunikasjonen mellom applikasjoner ved å sikre applikasjonene.

Bokser

Å legge inn "hump på kabelen" vil si å sette inn en boks, eller en gateway, som fungerer på samme måte som en brannmur. Den sikrer utgående meldinger og validerer innkommende trafikk.

Typisk for begge metodene er at de implementeres med propritære løsninger. Det betyr høyere priser og mangel på samvirke mellom ulike systemer. RSA har vært involvert i å lage et mellomlag som kan sikre nødvendige sikkerhetsfunksjoner.

-- En har typisk sagt at meldingene på skaffe seg et tegn, eller token, for verifisere kommunikasjonen. Men ingen har sagt hvordan man skal skaffe seg et slikt token, sier Slava Kavsan.

-- Det vil nok gå to til tre år før vi har sikkerhetsstandardene for web-tjenester på plass.