سرویس های امنیتی در بستر وب سایت

امنیت وب سایت مسئله ای است که ذهن بسیاری از متخصصان وب را به خود معطوف نموده است و بدین منظور بسیاری از پروتکل ها، سازوکارها در طراحی سایت لحاظ می شود.در اینجا ما تمرکز خود را بر سرویس های امنیتی سایت گذاشته ایم و درصدد این هستیم که با بیان راهنمایی هایی به شما این امکان را دهیم که وب سایت خود را از حملات احتمالی حمایت و کمکی در بهینه سازی سایت خود نمایید.
انتقال محرمانه داده

همه ارتباطات در میان سرویس های وب سایت از ویژگی احراز هویت جلسه بهره میگیرند.در انتقال داده ها و اطلاعات مهم می بایست از رمزگذاری و پیکربندی TLS به خوبی بهره بگیریم. حتی اگر پیام رمزگذاری شده باشد باز هم توصیه می شود که از این پیکربندی استفاده شود.چون SSL/TLS منافع بسیاری را در ترافیک داده محرمانه مانند حمایت یکپارچه و اهراز هویت سرورها را شامل می شود.

اهراز هویت سرویس دهنده

SSL/TLS به منظور تایید اهراز هویت سرویس دهنده برای کاربران سرویس بکار گرفته می شود. کاربران سرویس باید اهراز هویت سرویس دهنده که توسط سرور گواهینامه آن صادر شده است را تصدیق کنند و مطمئن شوند که سرویس دهنده تاریخش به انقضا نرسیده باشد و یا لغو نشده باشد و همچنین نام دامین سرور و اثبات اینکه کلید خصوصی مربوط به این کلید عمومی(با امضای رمزگذاری شده) تطبیق داده شده باشد.

تأیید اعتبار کاربر

تأیید اعتبار کاربر یا تصدیق هویت کاربر، سیستمی ست که تلاش برای اتصال به سرویس را دارد. این اهراز هویت معمولا توسط وب سرویس انجام می پذیرد.اهراز هویت پایه باید توسط سرویس SSL انجام پذیرد.

کدینگ انتقال

روش کدینگ SOAP وسیله ای برای انتقال داده از نرم افزار به فرمت XML و بالعکس ان می باشد. اجرای این روش کدینگ بین سرور و کاربر نیز باید صورت پذیرد.

صحت پیام

صحت داده ها در حال انتقال به آسانی توسط سرویس SSL/TLS می تواند امکان پذیر شود. استفاده از کلید عمومی، محرمانه رمزگذاری را تضمین می کند اما صحت را تضمین نمیکند زیرا کلید عمومی گیرنده به صورت عمومی در اختیار قرار می گیرد. به همین دلیل، رمزگذاری هویت فرستنده را تصدیق نمی کند.

محرمانگی پیام

عناصر داده به منظور محرمانه نگه داشته شدن می بایست توسط رمزگذاری قوی با طول کلید مناسب رمزگذاری شود. این بحث رمزگذاری هنگامی که با داده های حساس روبه رو هستیم باید به صورت قوی تری انجام پذیرد.

تصدیق هویت

خدمات وب نیاز به تصدیق هویت سرویس های وب از سمت سرویس گیرنده می باشد و همین گونه برنامه های کاربردی نیز نیازمند تصدیق هویت کاربران می باشند. یک وب سرویس نیاز دارد تا اطمینان حاصل کند که وب سرویس سمت سرویس گیرنده هویتش تصدیق شده است. وب سرویس باید مشتریان خود را تصدیق هویت کند .در پی تأیید تصدیق هویت، سرویس وب باید بررسی کند که ایا اجازه دسترسی به منبع درخواست شده را دارد.
تضمین دسترسی به مدیریت و عملکردهای مدیریتی در برنامه کاربردی وب سرویس، به مدیریت وب سرویس محدود می شود. در حالت مطلوب می بایست توانایی ها و عملکردهای مدیریت به طور کامل از کابران عادی جدا شده باشد.

تایید اعتبار محتوا

مانند تمام کاربری های وب، وب سرویس می بایست محتوای خود را قبل از بکارگیری اعتبار سنجی کند.اعتبارسنجی برای فایل xml موارد زیر را شامل می باشد:
اعتبارسنجی ورودی ها با فرمت خراب xml
اعتبارسنجی در مقابل حملات xml
اعتبارسنجی در مقابل حملات خروجی

سایز پیام

وب سرویس ها مانند برنامه های کاربردی وب می تواند نقطه محرکه ای برای حملات DOS باشد و با فرستادن خودکار هزاران پیام سایز بزرگ در پیام SOAP انجام پذیرد. بدین منظور برای ایجاد امنیت می بایست سایز پیام SOAP به اندازه خاصی محدود شود.