Trƣớc hết chúng ta xem xét những nhân tố rủi ro ảnh hƣởng đến mức an toàn của những ứng dụng dựa trên dịch vụ Web. Chúng ta sẽ sử dụng một kịch bản rút tiền ngân hàng qua mạng để xem xét vấn đề [26]. Đây là một ứng dụng client/server đơn giản mô tả một ngƣời rút tiền (client) kết nối tới trung tâm dữ liệu của ngân hàng để sử dụng một ứng dụng dịch vụ Web để thực hiện yêu cầu của mình. Nếu không có sự an toàn nào đã đƣợc áp dụng, thì có ba nhân tố mạo hiểm chính.
- Những giao dịch không hợp pháp (Unauthorized transactions): một ngƣời nào đó không có quyền nhƣng vẫn yêu cầu rút tiền. Giao dịch này không hợp pháp. Chúng ta cấm vấn đề này bằng cách sử dụng cơ chế chứng thực của Web Service Security. Một ví dụ của sự chứng thực bao gồm phải có một kết hợp userID/password trong SOAP message.
- Những thông báo không mã hóa (Readable messages in clear text-no encryption): số hiệu tài khoản và số dƣ tài khoản trong gói SOAP rất dễ bị đọc lén trên mạng. Việc lộ thông tin này là do thông tin tài khoản và số dƣ đƣợc gửi qua mạng dƣới định dạng văn bản. Để giải quyết vấn đề này, thông tin này phải đƣợc mã hóa ở mức kênh chuyển thông điệp hoặc ở mức thông điệp.
- Những thông điệp bị thay đổi hoặc mất mát (SOAP message susceptible to modification-no integrity): Trong quá trình chuyển thông tin từ ngƣời rút tiền đến
trung tâm dữ liệu, nó có thể bị chặn. Và những thông tin này có thể bị thay đổi, ví dụ nhƣ số tài khoản là 1234 thì bị thay đổi thành số 9876. Vấn đề này dẫn đến thiếu sự toàn vẹn.
Trong kịch bản trên, chúng ta đã mô tả sự an toàn liên quan tới những yêu cầu của sự chứng thực, tính bí mật, và sự toàn vẹn thông tin.
Khi Website sử dụng cho mục đích thƣơng mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi có thể bị lộ. Để tránh nguy cơ này, có thể dùng chứng chỉ số SSL Server để bảo mật cho Website. Chứng chỉ số SSL Server sẽ cho phép lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp cho Website một định danh duy nhất nhằm đảm bảo về tính xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật thông qua công nghệ SSL mà nổi bật là các tính năng:
- Thực hiện mua bán bằng thẻ tín dụng
- Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng - Đảm bảo hacker khó thể dò tìm đƣợc mật khẩu
Có thể nói ngày nay ngoài việc nghiên cứu làm sao để tạo ra một dịch vụ Web tốt mang lại nhiều lợi ích thì việc nghiên cứu để làm sao mang lại sự an toàn cho dịch vụ Web cũng là một trong những vấn đề rất quan trọng. Thật khó tin tƣởng để sử dụng một dịch vụ nhƣ mua/bán chứng khoán hay chuyển tiền trực tuyến mà lại không có một sự an toàn cần thiết. Một chuẩn an toàn chung cho các hệ thống giao dịch trên mạng thƣờng phải tập trung vào những điều sau:
- Identification: định danh đƣợc những ai truy cập tài nguyên hệ thống.
- Authentication: chứng thực tƣ cách truy cập tài nguyên của ngƣời muốn sử dụng.
- Authorization: cho phép giao dịch khi đã xác nhận định danh ngƣời truy cập. - Integrity: toàn vẹn thông tin trên đƣờng truyền.
- Confidentiality: độ tin cậy, không ai có thể đọc thông tin trên đƣờng đi. - Auditing: kiểm tra, tất cả các giao dịch đều đƣợc lƣu lại để kiểm tra.
- Non-repudiation: độ mềm dẻo, cho phép chứng thực tính hợp pháp hóa của thông tin đến từ một phía thứ ba ngoài 2 phía là ngƣời gửi và ngƣời nhận.
Những yêu cầu trên giúp cho hệ thống an toàn hơn, tránh đƣợc phần nào những truy cập không hợp lệ.
Trƣớc khi có WSS thì ý nghĩa thông thƣờng của an toàn dịch vụ Web là bảo mật kênh truyền dữ liệu. Nó đƣợc thực hiện cho những SOAP/HTTP dựa trên cơ chế truyền thông điệp bằng cách sử dụng giao thức HTTPS. Không giống sự an toàn mức thông điệp, HTTPS cung cấp sự an toàn tới toàn bộ gói dữ liệu HTTP. Bởi vậy, chúng ta không có một tùy chọn nào để áp dụng sự an toàn có chọn lọc chỉ trên những thành phần của một thông điệp.
HTTPS là một chuẩn an toàn cho HTTP, nó cho phép chứng thực client và server qua những chứng thực giữa client và server. Mặc dầu HTTPS không bao phủ tất cả các khía cạnh trong chuẩn an toàn chung, nhƣng nó cũng đã cung cấp một mức bảo chứng đầy đủ với định danh và chứng thực, sự toàn vẹn thông điệp, và độ tin cậy. Tuy nhiên, authentication, auditing, and nonrepudiation chƣa đƣợc cung cấp. Bên cạnh đó, HTTPS là một giao thức nên khi thông điệp đi qua HTTP server thì lại không an toàn.
Trƣớc khi có Web service Security, sự an toàn kênh chuyển thông điệp rất hay đƣợc sử dụng. Sự an toàn kênh chuyển thông điệp ở chỗ là nó mã hóa toàn bộ thông điệp, dẫn đến sử dụng CPU (Central Processing Unit) cao hơn. Tuy nhiên với Web service Security, nó cung cấp những cách tối ƣu hóa những thao tác an toàn, mà yêu cầu ít thời gian sử dụng CPU hơn. Dựa vào mức an toàn cần thiết mà một hoặc nhiều hơn những cơ chế an toàn này có thể đƣợc áp dụng cho một ứng dụng.
Các kết nối HTTPS thƣờng đƣợc sử dụng để thanh toán các giao dịch trên Web và nhạy cảm đối với các giao dịch trong hệ thống thông tin doanh nghiệp.
Việc giao tiếp qua mạng Internet đang trở thành một nhu cầu thƣờng xuyên. Có thông tin truyền trên mạng rất quan trọng, nhƣ mã số tài khoản, mật khẩu,... Khi giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP, các thông tin đƣợc gửi từ máy tính này tới máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt. Điều này tạo cơ hội cho ''kẻ trộm'' có thể thực hiện các hành động bất hợp pháp. Với các thủ đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua mạng cũng ngày càng gia tăng. Các thông tin truyền trên mạng đều có thể bị nghe trộm, giả mạo, mạo danh,...
Các dịch vụ Web liên kết và tƣơng tác với các ứng dụng qua Internet, chính vì vậy bảo mật là một vấn đề đƣợc quan tâm khi các công ty tiến tới kết hợp ứng dụng
với một dịch vụ Web. Việc đảm bảo an toàn cho dịch vụ Web là một vấn đề quan trọng, đặc biệt đối với những dịch vụ liên quan đến trao đổi tiền tệ, thông tin từ thị trƣờng chứng khoán hay dịch vụ bán hàng qua mạng (liên quan đến trả tiền bằng tài khoản và có yêu cầu thông tin cá nhân của ngƣời dùng).