PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherer Webservice


ethrandil
2005-10-01, 14:22:01
Ich hätte da mal ein Problem:

Betreiber XY stellt einen Internetdienst zur Verfügung, der mit Username und Passwort erreichbar ist. Er selber stellt aber nur soetwas wie eine corporaten Identity zur Verfügung - also Informationen für andere Websitebetreiber.

Diese Websitebetreiber sollen die Möglichkeit haben, Leute bei sich einloggen zu lassen und dadurch auf die Informationen von XY zugreifen zu können (z.B. Vor- Nachname).

Und die Sicherheitsfeatures:
- Die Websitebetreiber dürfen nicht das Passwort erfahren (sonst könnten sie die Abfragen in Zukunft immer tätigen!)
- Verschlüsselte Datenübertragung
- Möglichst wenig Aufwand für die Websitebetreiber

Also? Wie macht man das? Webservice + ???

- Eth

Shink
2005-10-01, 15:19:22
Ich hätte da mal ein Problem:

Betreiber XY stellt einen Internetdienst zur Verfügung, der mit Username und Passwort erreichbar ist. Er selber stellt aber nur soetwas wie eine corporaten Identity zur Verfügung - also Informationen für andere Websitebetreiber.

Diese Websitebetreiber sollen die Möglichkeit haben, Leute bei sich einloggen zu lassen und dadurch auf die Informationen von XY zugreifen zu können (z.B. Vor- Nachname).

Und die Sicherheitsfeatures:
- Die Websitebetreiber dürfen nicht das Passwort erfahren (sonst könnten sie die Abfragen in Zukunft immer tätigen!)
- Verschlüsselte Datenübertragung
- Möglichst wenig Aufwand für die Websitebetreiber

Also? Wie macht man das? Webservice + ???

- Eth
Naja, der Benutzer verschlüsselt mit seinem Private Key und dem Public Key von XY.
XY entschlüsselt mit seinem Private Key und dem Public Key vom Benutzer.

Soweit die Theorie.
Wenn man wirklich das benutzen will, was der "Webservice-Server" anbietet, dann muss man es wohl über Zertifikate realisieren.
Da müßte ich jetzt aber wohl nachdenken...

ethrandil
2005-10-01, 16:21:42
Naja, der Benutzer verschlüsselt mit seinem Private Key und dem Public Key von XY.
XY entschlüsselt mit seinem Private Key und dem Public Key vom Benutzer.
Und das ganze soll sehr benutzerfreundlich gehen ;-)
Wenn man wirklich das benutzen will, was der "Webservice-Server" anbietet, dann muss man es wohl über Zertifikate realisieren.
Da müßte ich jetzt aber wohl nachdenken...
Ich muss zugeben, dass ich davon keien Ahnung habe.....

- Eth

Shink
2005-10-01, 17:26:21
Und das ganze soll sehr benutzerfreundlich gehen ;-)

Ich muss zugeben, dass ich davon keien Ahnung habe.....

- Eth
Also, man kann ja normalerweise bei WebService-Container wie z.B. Axis, wenn es auf Tomcat läuft, SSL (oder TSL oder wie man es nennen mag: Das, was bei https zum Einsatz kommt) zur Authentifizierung von Server und/oder Client verwenden.
Irgendwie müsste der Websitebetreiber veranlassen, dass das Passwort des Benutzers mit dem Public Key im Zertifikat von XY verschlüsselt wird, bevor es übertragen wird.

oliver123
2005-10-03, 02:42:35
Ich hätte da mal ein Problem:
Und die Sicherheitsfeatures:
- Die Websitebetreiber dürfen nicht das Passwort erfahren (sonst könnten sie die Abfragen in Zukunft immer tätigen!)
- Verschlüsselte Datenübertragung
- Möglichst wenig Aufwand für die Websitebetreiber

Also? Wie macht man das? Webservice + ???

- Eth

Mhh also wenn die Websitebetreiber mit dem Passwort beliebige Anfragen stellen könnten und dies nicht gewünscht ist dann hast Du einen Fehler im Design den Du nicht durch Verschlüsselung des Passwortes "patchen" solltest. Wenn das Passwort benutzt wird ist es leicht auszulesen. Vor allem hast Du es ja mit Administratoren und nicht mit DAUs zu tun.
Verschlüsselung: HTTPS
Aufwand: Fertige Implementierung anbieten

ethrandil
2005-10-03, 03:06:42
Habe auch schon ein anderes Design :-)

Beliebige Website stellt anfrage an XY, indem dort eine Seite aufgerufen wird (Popup). Der Benutzer gibt auf der Seite von XY sein Passwort ein, woraufhin XY wieder eine Seite des Webservers aufruft und die Informationen übermittelt.
Nun muss nur sichergestellt sein, dass auch wirklich XY die Seite aufruft. Geht das über Zertifikate?


website --> XY <-- Benutzer Authorisiert
|
website <--|


- Eth

oliver123
2005-10-03, 17:46:12
Habe auch schon ein anderes Design :-)

Beliebige Website stellt anfrage an XY, indem dort eine Seite aufgerufen wird (Popup). Der Benutzer gibt auf der Seite von XY sein Passwort ein, woraufhin XY wieder eine Seite des Webservers aufruft und die Informationen übermittelt.
Nun muss nur sichergestellt sein, dass auch wirklich XY die Seite aufruft. Geht das über Zertifikate?


website --> XY <-- Benutzer Authorisiert
|
website <--|


- Eth

Was tust Du denn genau? Generell lautet die Frage auf deine Antwort zwar ja aber irgendwie wirkt mir das alles nicht unbedingt durchdacht?! Welche Daten braucht die Website und was tut die Website damit bzw. warum darf sie überhaupt nur einmal die Daten bekommen. Mir ist das momentan etwas schleierhaft. Wieso übertragst Du sie nicht direkt zum User, sprich warum dann überhaupt ein WS ?

ethrandil
2005-10-03, 17:57:03
Es geht bei den Informationen um Geldbeträge. Die muss die Website wissen, aber sie darf ja keine Dauereintrittskarte haben.

Ist auch noich nicht ganz durchdacht ;)

- Eth

Shink
2005-10-03, 20:15:44
Es geht bei den Informationen um Geldbeträge. Die muss die Website wissen, aber sie darf ja keine Dauereintrittskarte haben.

Ist auch noich nicht ganz durchdacht ;)

- Eth
Naja, sollte es eigentlich schon, wenns um Geldbeträge geht und Sicherheit ein Kriterium ist ;)

Mach dich mal schlau, was man mit https, tls und ssl alles anstellen kann und lass das in dein Design einfließen. (Ich weiß nicht... kann man bei https als Server ein Zertifikat mit fremden public Key hergeben?)