Sicherheitsstandard für Webservices ist durch

Das Standardisierungsgremium für Webservices OASIS hat jetzt endlich die Arbeiten an der Spezifikation zu Ende gebracht. Web Services Security 1.0 (WSS) könnte nach zwei Jahren Entwicklung den Webdiensten mit einer sicheren Umgebung vielleicht einen neuen Schub verpassen.
Der Standard beinhaltet derzeit zwei Profile, die für WS-Security genutzt werden können. Zum einen zählt dazu das ‘Username Token Profil 1.0’ und zum anderen das ‘X.509 Token Profil’, eine Ableitung des Public-Key-Infrastrukturverfahrens. WSS erlaubt nun, Webservices sicher und mit einer Signatur versorgt abzuwickeln. Die Sicherheitsinformationen, basierend auf dem Simple Object Access Protocol (SOAP), werden durch die Header kommuniziert.

Im Vorfeld hieß es, solange ein Sicherheitsstandard für Webservices nicht am Platz sei, könnten auch die Dienste keinen Erfolg haben. Ein erster Schritt scheint damit getan. Einige Hersteller unterstützen den neuen Standard bereits, darunter Bea, Computer Associates, Hewlett-Packard, IBM, Microsoft, Novell, SAP und Sun.

Microsoft und IBM arbeiten außerdem an weiteren Teilen für die Weiterentwicklung der Spezifikation. Sie diskutieren bereits über standardisierte WS-Policies oder auch WS-Autorisation, die definiert, wie sich Autorisierungstools und Policies einheitlich verwalten lassen.