:strip_icc():strip_exif()/u/157835/crop5d398e53b1dc3_cropped.jpeg?f=community)
Voor een website zijn wij bezig met een Flex applicatie (waar een Flash-file uit voortkomt) die verbinding maakt met een aantal ASP.NET webservices.
De Flash-file verbindt direct naar de webservices. Het probleem is dat onze webservices van buitenaf bereikbaar zijn. De webservices hebben dus geen bescherming. Deze webservices worden gebruikt vanaf een publieke website die redelijk wat bezoekers zal gaan krijgen, dus het is een vrij groot risico om de webservices vrij toegankelijk te hebben voor iedereen die weet waar 'ie ze moet zoeken.
Wij willen de webservices daarom dus gaan beschermen, maar de vraag is wat het meest efficiënt en snelst is om te implementeren, omdat we momenteel weinig tijd hebben om een zeer uitgebreide methode te implementeren. Na de eerste beveiligingsstappen (nu dus) zullen we verder aan de beveiliging gaan werken.
Huidige situatie
Flash website met flash pagina logt in op website, maakt extensief gebruik van webservices. Die webservices hebben géén beveiliging.
[list=1]Voorbeeld huidige (Login) procedure
• Gebruiker start browser, surft naar onze website, die de flashfile download/toont
• gebruiker typt in textbox zijn gebruikernaam + wachtwoord, gebruiker klikt op OK-knop.
• SWF pagina roept onze webservices aan.
• Webservices geven response terug naar SWF.
• SWF verwerkt die response en geeft zo bijvoorbeeld resultaten weer.
Wij denken tussen stap (3) en (4) "iets" te installeren, om het te beveiligen. Maar de vraag is wat? En hoe?
We hebben de volgende mogelijkheden gebrainstormed:
[list]• Webservices tunneling via VPN.
• IIS Basic Authentication
• Proxy server forwards request naar webservices
• Firewall met DMZ naar webserver
• elke webservice ASMX herbouwen, om per method een extra param "secureID"-param te accepteren.
• flash vraagt een session aan van IIS, en functioneert binnen een sessie
• HTTPS tripleDES/ PKI certificaten
• anders..???
Allen van bovenstaand duurt te lang, of levert veel testwerkzaamheden op (waar we momenteel geen tijd voor hebben), of eist ervaring die boven ons niveau zitten.
De oplossing hoeft niet bijzonder uitgebreid en/of sterk te zijn, zolang het maar niet zo lek als een mandje is want dat is het nu wel. Dus als iemand suggesties heeft om webservices te beschermen, dan horen wij dit graag.
Alvast bedankt!
De Flash-file verbindt direct naar de webservices. Het probleem is dat onze webservices van buitenaf bereikbaar zijn. De webservices hebben dus geen bescherming. Deze webservices worden gebruikt vanaf een publieke website die redelijk wat bezoekers zal gaan krijgen, dus het is een vrij groot risico om de webservices vrij toegankelijk te hebben voor iedereen die weet waar 'ie ze moet zoeken.
Wij willen de webservices daarom dus gaan beschermen, maar de vraag is wat het meest efficiënt en snelst is om te implementeren, omdat we momenteel weinig tijd hebben om een zeer uitgebreide methode te implementeren. Na de eerste beveiligingsstappen (nu dus) zullen we verder aan de beveiliging gaan werken.
Huidige situatie
Flash website met flash pagina logt in op website, maakt extensief gebruik van webservices. Die webservices hebben géén beveiliging.
[list=1]Voorbeeld huidige (Login) procedure
• Gebruiker start browser, surft naar onze website, die de flashfile download/toont
• gebruiker typt in textbox zijn gebruikernaam + wachtwoord, gebruiker klikt op OK-knop.
• SWF pagina roept onze webservices aan.
• Webservices geven response terug naar SWF.
• SWF verwerkt die response en geeft zo bijvoorbeeld resultaten weer.
Wij denken tussen stap (3) en (4) "iets" te installeren, om het te beveiligen. Maar de vraag is wat? En hoe?
We hebben de volgende mogelijkheden gebrainstormed:
[list]• Webservices tunneling via VPN.
• IIS Basic Authentication
• Proxy server forwards request naar webservices
• Firewall met DMZ naar webserver
• elke webservice ASMX herbouwen, om per method een extra param "secureID"-param te accepteren.
• flash vraagt een session aan van IIS, en functioneert binnen een sessie
• HTTPS tripleDES/ PKI certificaten
• anders..???
Allen van bovenstaand duurt te lang, of levert veel testwerkzaamheden op (waar we momenteel geen tijd voor hebben), of eist ervaring die boven ons niveau zitten.
De oplossing hoeft niet bijzonder uitgebreid en/of sterk te zijn, zolang het maar niet zo lek als een mandje is want dat is het nu wel. Dus als iemand suggesties heeft om webservices te beschermen, dan horen wij dit graag.
Alvast bedankt!
met vriendelijke groet,
:strip_icc():strip_exif()/u/15283/pinkypimp.jpg?f=community)
:strip_icc():strip_exif()/u/32590/Meteora60.jpg?f=community)
:strip_icc():strip_exif()/u/82614/thirsty.jpg?f=community)
:strip_icc():strip_exif()/u/53288/icon.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
/u/63681/soia.png?f=community)