Web Services Security liegt in Version 1.1 vor
Gegenüber dem Vorgänger bringt die neue Version nicht viel Neues, führt jedoch einige Features ein, die zum großen Teil auf Wünsche von Anwendern zurückgehen.
Die internationale Standardisierungsorganisation OASIS (Organization for the Advancement of structured Informations Standards) hat Web Services Security (WSS) in der Version 1.1 verabschiedet. Dieser Standard liefert das technische Fundament für die Implementierung von Sicherheitsfunktionen bei der Nachrichtenübermittlung in anspruchsvollen Web-Service-Anwendungen.
Gemessen am Vorgänger bringt die neue Version nicht allzuviel Neues, führt jedoch einige Features ein, die zum großen Teil auf Wünsche von Anwendern zurückgehen. WS-Security 1.1 bietet beispielsweise neue Token-Profile für Kerberos, die Security Markup Language (SAML), SOAP with Attachments sowie die Rights Expression Language (REL). Version 1.0 enthielt lediglich zwei Profile (Username Token und X.509 Token). Auch das Handling von digitalen Signaturen soll signifikant verbessert worden sein.
WS-Security legt lediglich die Grundlage, um Sicherheitsarchitekturen im Web-Services-Umfeld aufzubauen. Schwächen zeigt der Standard noch bei der Abwicklung der Kommunikation zwischen Client und Provider. Die Performance und die Automatisierbarkeit der Lösungen sind ebenfalls noch ausbaufähig. Um hier Abhilfe zu schaffen, bemüht sich das WSS Technical Committee, dem namhafte Firmen aus der Hard- und Softwarebranche wie Microsoft, IBM, Intel, SAP, HP und Fujitsu angehören, zusätzliche Spezifikationen zu entwickeln, die WSS um Spezialfunktionen erweitern. Namentlich sind das WS-Trust, WS-SecureConversation und WS-SecurityPolicy. Diese drei werden laut Plan offiziell und mit OASIS-Segen Mitte 2007 zur Verfügung stehen. Mit Industrie-Implementierungen ist jedoch erheblich früher zu rechnen. (jd)
