Oft wird übersehen, dass auch die Programmierung eine neue Qualität bekommt. „Es geht da nicht nur um den Zugriff auf einen Web-Server, sondern es wird eine Klassenmethode angestoßen“, erläutert Wilhelmi. Das Problem dabei ist: Parameter in Funktionsaufrufen erzeugen in vorhandenen, nachträglich webifizierten Anwendungen leicht Buffer Overflows, wenn das Überprüfen der Geltungsbereiche schlampig oder gar nicht gemacht wurde. Das heißt: Will man Anwendungen, die nicht für eine Nutzung im Internet entwickelt wurden, als Web-Service anbinden, ist eine gründliche Prüfung der Parameter nötig.
Die wichtigsten Standards
Security Assertion Markup Language (SAML): XML-Framework für den Austausch von Authentisierungs- und Autorisierungsinformationen zwischen verschiedenen Systemen und Services. Eine Art Single-Sign-on für Web-Services.
XML Encryption: Legt eine Syntax für die Verschlüsselung von XML-Dokumenten fest. Eine Verschlüsselung von Teilen eines Dokuments ist möglich. Voraussetzung für WS-Security.
XML Signature: Spezifiziert Regeln für digitale Unterschriften unter XML-Dokumente und die Verarbeitung von Signaturen. Fließt ebenfalls in WS-Security ein. Wurde schon verabschiedet.
XML Key Management Specification (XKMS): XML Encryption, XML Signature und ihre kombinierte Anwendung in WS-Security erfordern kryptografische Schlüssel. XKMS beschäftigt sich mit der Frage, wie diese Schlüssel sicher an Clients übergeben werden können.