WS-Security:
en route vers la standardisation
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0207/020703_ws-security.shtml
Mercredi 3 juillet 2002
A
lire aussi:
Web
Services: IBM et Microsoft s'attaquent aux questions de sécurité
WS-Security:
une réponse à tous les besoins de sécurité des Web Services ?
Les concepteurs de WS-Security, Microsoft,
IBM et Verisign,
viennent de soumettre leurs travaux à un consortium indépendant :
c'est OASIS qui a été choisi pour mettre en oeuvre la
démarche de standardisation de cette spécification qui,
rappelons le, a été conçue pour sécuriser
les échanges mis en oeuvre sous forme de Web Services entre
deux applications distantes.
Un choix qui parait surprenant quand on sait que deux de ces éditeurs
(soit Microsoft et IBM) siègent à la direction d'une
autre organisation elle aussi spécialisée sur le sujet :
le désormais fameux WS-I
(Web Services Interoperability Organisation). Chargé de prendre
en charge les tests d'interopérabilité entre solutions
à base de Web Services, ce dernier a également pour
vocation de compléter les chantiers lancés par le W3C
(World Wide Web Consortium) autour des langages SOAP (Simple Object
Access Protocol) et de WSDL (Web Services Description Language).
Un travail amorcé
depuis plusieurs mois déjà
Quel est l'objectif de WS-Security
(pour Web Services Security) ? Initié fin 2001 par Microsoft,
cette spécification a pour but de répondre au manque
de sécurité dont souffre les Web Services de première
génération - les interfaces SOAP et WSDL en l'occurrence.
Un défaut qui représenterait le principal frein à
l'expansion de cette nouvelle technologie d'intégration d'applications.
Rallié dans les mois qui suivent par IBM et Verisign, le projet
WS-Security couvre l'ensemble des problématiques de sécurité
d'un processus transactionnel. De l'authentification des utilisateurs
et des composants en présence en passant par le chiffrement,
et la gestion de l'intégrité des messages par le biais
de certificats. "Concrètement, il définit la manière
de décrire au sein d'un message SOAP les droits utilisateur
correspondants aux systèmes en présence", nous
expliquait Marc Gardette, architecte chez Microsoft France, lors de
la première publication de la spécification en avril
dernier (voir
l'article sur le sujet).
OASIS : un choix raisonnable ?
Reste
à savoir pourquoi les trois auteurs ont choisi OASIS plutôt
que le WS-I. La réponse à cette question est sans doute
à rechercher dans le caractère indépendant de
cette organisation. Un statut qui lui permet d'accueillir sans distinction
l'ensemble des acteurs du marché. Pour preuve : aux côtés
de BEA, Cisco, Documentum, Netegrity et SAP, Sun a également
indiqué son intention de participer au groupe
de travail lancé pour l'occasion par le consortium. Pris
en charge par le WS-I, ce dossier de standardisation se serait sans
doute révélé plus difficile à mener à
bien... voire quasiment impossible. Principal obstacle à déplorer :
l'absence de Sun qui, alors que les rumeurs vont bon train autour
de son éventuelle entrée au WS-I, figure encore parmi
les grands absents de cette initiative. Principal éditeur de
plates-formes d'intégration aux côtés de Microsoft,
IBM et BEA, la société de Palo Alto ne devait donc pas
être mise à l'écart.
A
lire aussi:
Web
Services: IBM et Microsoft s'attaquent aux questions de sécurité
WS-Security:
une réponse à tous les besoins de sécurité des Web Services ?
[Antoine Crochet Damais, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|