Die Grenzen von HTTPS
Als Ausweg empfiehlt Lars Weimer, Senior Advisor bei der Ernst & Young IT-Security GmbH in Frankfurt am Main, die Daten innerhalb einer „demilitarisierten Zone“, aber noch vor der Bearbeitung der Web-Services-Anfrage auf schädlichen Code zu prüfen (deep packet inspection). Aus Sicherheits- und Performance-Gründen ist eine Inspektion auf oder vor der Firewall nicht zu empfehlen. Die rechenintensive Überprüfung wird von den üblichen Systemen heute noch nicht im nötigen Umfang unterstützt.
Häufig verwenden Firmen für die Verschlüsselung das Secure Hypertext Transfer Protocol (HTTPS). Es sorgt für eine Art sicheren (sogar authentisierten) Tunnel zwischen HTTP-Client und HTTP-Server. Das reicht jedoch nicht immer aus. Oft sind HTTP-Client und -Server eben nicht die Endpunkte der Applikation. Eine Ende-zu-Ende-Verschlüsselung wäre dann nicht gegeben. Zudem codiert das Protokoll ausnahmslos alles und erlaubt keine elementweise Verschlüsselung. „Viele Anwendungen tunneln HTTP über SSL. Zusammen mit Server- und Client-Zertifikaten bei SSL lässt sich damit eine rudimentäre Sicherheit erreichen, aber keine Sicherung einzelner Transaktionen“, urteilt Secunet-Berater Wilhelmi.
Grundlagen
Extensible Markup Language (XML): XML entstand in den 90er Jahren als Textformat für das Vorhalten und Beschreiben von Informationen. Der selbstbeschreibende Charakter erleichtert die Verarbeitung durch Softwareapplikationen. Es kann zudem einfach von einer Anwendung an eine andere übertragen werden, da es sich über HTTP transportieren lässt. So hat sich XML zu einem der wichtigsten Tools für den Austausch von Daten zwischen Applikationen gemausert.
Simple Object Access Protocol (Soap): Soap entwickelte sich Mitte 2000 als Technologie für entfernte Aufrufe zwischen Applikationen. Microsoft, IBM, Userland und Developmentor haben das Protokoll im Standardisierungsgremium W3C vorgeschlagen. Inzwischen gilt Soap als De-facto-Sprache für Web-Services. Zur Codierung verwendet es XML. Eigene Sicherheitsmechanismen kennt Soap nicht, die mit der Standardisierung befasste Arbeitsgruppe klammert das Thema sogar bewusst aus. Die XML-Sicherheitsmechanismen taugen jedoch auch für entfernte Funktionsaufrufe und den Nachrichtenaustausch mit dem Soap-Format.