Segurança
Falta de segurança no XML enfraquece SOA, diz especialista da IBM
O gerente de soluções Data Power da IBM, Amir Assar, destacou problemas de privacidade e de ataques via XML.
Por Vinicius Cherobino, do COMPUTERWORLD
Compartilhe:
Um dos principais pontos de partida para a adoção de uma arquitetura orientada a serviços (SOA) está nos Web Services, com destaque para o XML. Com a capacidade de facilitar a comunicação nos mais diversos sistemas, a tecnologia XML
O que poucos desenvolvedores sabem, no entanto, é que a adoção sem restrição do XML traz diversos problemas de segurança. De acordo com Amir Assar, gerente de soluções Data Power da IBM, a visão de que o XML é a base para aplicar SOA nas empresas está deixando as empresas vulneráveis.
“O XML é muito aberto, qualquer pessoa pode ler o que está no arquivo. Se tiver cartão de crédito do cliente trafegando via XML, por exemplo, pode ser facilmente descoberto por alguém ou por um programa”, resume Assar. Ele cita como exemplo o ataque na China que tirou do ar mais de 10 mil servidores que usou SQL Injection via XML para atingir as máquinas e os sites.
Assar afirma que é pouco usar criptografia SSL no transporte de XML, hoje a principal arma na proteção da tecnologia. Segundo ele, a criptografia precisa ser utilizada de maneira mais extensa. “Ou usa criptografia no XML inteiro ou embaralha os dados críticos. Apostar em assinatura digital e na validação do XML também ajuda”, disse.
Além da segurança
O especialista destaca, também, o fato do XML demandar uma
grande capacidade de processamento. Além disso, continua, existem diversos
padrões de utilização concorrentes da tecnologia que estão confundindo os
usuários.
“Muitos clientes reclamam: a cada dia há um novo padrão para usar o XML. Eles querem implementar, querem ter as melhores práticas, mas são dúzias de determinações. Desde gerenciar as políticas, passando pela governança até avaliar a segurança dos códigos criados pelos programadores. É excessivo”, garante.
Como a natureza dos web services é facilitar a comunicação, está claro que dados internos vão estar disponíveis para parceiros e clientes. “Se os serviços podem ser acessados por terceiros, é preciso segurança externa. Poucas empresas que desenvolvem em XML ou em SOA estão atentando para isso”, concluiu.
Conheça os 100 melhores CIOs do país
60 melhores empresas de TI e Telecom para trabalhar
A elite do RH de TI e Telecom no Brasil
Computerworld e Instituto GPTW apresentam as Melhores Empresas de TI e Telecom para Trabalhar 2009.
Veja o Especial
