Sicherheitsbedenken wegen SOAP

**seilerba** · 30.03.2010, 10:43

liebe leute
mein provider hat die SOAP-extension nicht aktiviert und er hat sicherheitsbedenken, das zu tun. was sage ich ihm?
danke für munition,
barbara

**acenes** · 30.03.2010, 10:51

Ab besten den Server ganz abschalten, dann ist er auf der sicheren Seite.

Spass beiseite, die meisten Leute die zu wenig kompetent sind das selber richtig einzuschätzen sind auch gegenüber Argumenten taub.

Frag ihn besser mal nach einem konkreten Fall wie genau die Sicherheit durch SOAP beeinträchtigt wird. Er kommt dann böse in Erklärungsnot. Wenn er einen Exploit durch einen SOAP Zugriff auf https://contao.org oder contifex.com schafft gebe ich zu dass ich mich geirrt habe.

***lucina*** · 30.03.2010, 11:16

Zitat von acenes

Ab besten den Server ganz abschalten, dann ist er auf der sicheren Seite.
[...]Frag ihn besser mal nach einem konkreten Fall wie genau die Sicherheit durch SOAP beeinträchtigt wird. Er kommt dann böse in Erklärungsnot.

Naja, so locker würde ich das jetzt erstmal nicht abtun - Fakt ist ja nun, dass SOAP-Requests durch eine Firewall gehen wie ein Messer durch Butter. Ich würde mich so weit aus dem Fenster lehnen, dass SOAP via SSL als sicher anzusehen ist. Vgl. beispielsweise http://www.schoenberg-solutions.de/d...SEC_060810.pdf.

Zitat von acenes

Wenn er einen Exploit durch einen SOAP Zugriff auf https://contao.org oder contifex.com schafft gebe ich zu dass ich mich geirrt habe.

:-

**seilerba** · 30.03.2010, 12:32

tensid tönt gut - das sollte mein problem lösen ohne dass ich mit dem provider streiten muss.
danke
b

**acenes** · 30.03.2010, 12:48

Zitat von lucina

Fakt ist ja nun, dass SOAP-Requests durch eine Firewall gehen wie ein Messer durch Butter.

Du bist 2 Tage zu früh.

***lucina*** · 30.03.2010, 13:07

When relying on HTTP as a transport protocol, a firewall designed to only allow web browsing is forced to perform more detailed (and thus more costly) analysis of the HTTP packages. For example, an HTTP request to a SOAP WebService using the idempotent HTTP method GET, could easily be hiding non-idempotent actions inside the SOAP package, so firewalls must inspect the contents of the package and also have some knowledge of the SOAP structure, this may require parsing or string matching which is very costly in firewall terms. This is why it is generally a bad idea to use a transfer protocol such as HTTP as a transport protocol for which it was not designed.

Mehr dazu unter anderem hier: http://www.fh-wedel.de/~si/seminare/...oap/soap09.htm, hier: http://www.tecchannel.de/webtechnik/...es/index4.html, oder hier: http://entwickler.com/itr/online_art...nodeid,69.html

Ich will ja hier keine Teufel an fremde Wände malen, aber es so locker-flockig zu sehen scheint mir doch nicht wirklich angemessen.

**acenes** · 30.03.2010, 13:23

Nein so locker flockig ist das nicht. Mit derselben Begründung kann man auch sagen:

HTTP ist gefährlich
HTML ist gefährlich
AJAX ist gefährlich
SQL ist gefährlich
PHP ist gefährlich
FTP ist gefährlich
Javascript ist gefährlich
Flash ist gefährlich
Internet ist gefährlich
etc. pp.

Stimmt ja auch. Nur bildet SOAP da keine Ausnahme oder erhöhte Gefahr.

Das was dein Experte da als generelles Sicherheitsproblem von SOAP darstellt kannst du aber mit fast jeder beliebigen Technologie auch machen, nämlich eine Technologie durch Fehler oder wissentlich so verwenden dass insgesamt eine schädliche Wirkung erzielt wird. Deshalb meine ursprüngliche Aussage, dass man am besten den Server ganz ausschaltet.