computerwoche.de

Archiv

Sicherheit für Web-Services ist nicht perfekt

08.05.2003
Von Martin Seiler

Web-Services selbst sehen keine Mechanismen vor, um die genannten Anforderungen zu erfüllen. Verschiedene Gremien beschäftigen sich deshalb damit, auf Basis der Extensible Markup Language (XML), die sich zum Quasi-Standard für Web-Services entwickelt hat, Erweiterungen zu definieren, die wenn schon nicht alle, so doch einige der Schwachstellen ausräumen.

Die von der Organization for the Advancement of Structured Information Standards (Oasis) im November 2002 in Version 1.0 verabschiedete Spezifikation Security Assertions Markup Language (SAML) beispielsweise stellt eine Möglichkeit für Web-Services dar, sich gegenseitig zu identifizieren und Informationen bezüglich ihrer Authentizität auszutauschen. Das geschieht in Form so genannter Security Assertions, die Anwendern, Applikationen oder einem Web-Service zugewiesen und in LDAP-Directories vorgehalten werden können.

Generell unterscheidet man drei verschiedene Arten von Assertions (Authentication, Attribute und Authorization), die von getrennten Instanzen ausgestellt und überprüft werden. Assertions bestätigen die Identität einer Person oder eines Objekts, außerdem lassen sich mit ihrer Hilfe bestimmte statische oder dynamische Eigenschaften (zum Beispiel Position in einer Firma oder Kontostand eines Kunden) definieren und überdies festhalten, welche Rechte ihm zugewiesen und welche Sicherheitsregeln damit verknüpft sind.

Notwendigkeit digitaler Identitäten

Mit SAML lassen sich Single-Sign-on-Systeme realisieren: Nach einmaligem Anmelden an einem System kann der Nutzer auf weitere, damit verbundene Dienste zugreifen, ohne sich erneut anmelden zu müssen. Die SAML-Spezifikation bildet die Grundlage für die Arbeit der von Anbietern wie Sun, Cisco, RSA Security oder General Motors initiierten Liberty Alliance, die sich zum Ziel gesetzt hat, eine herstellerneutrale, offene Lösung für föderierte digitale Identitäten zu erarbeiten. Liberty hat bereits eine technische Spezifikation entwickelt, die derzeit in Version 1.1 vorliegt und bei Oasis zur Standardisierung eingereicht wurde, um sie in einer nächsten Version von SAML zu integrieren.