Discussion :

[soso78]

Salut,

J'ai un webService qui fonctionne bien et qui utilise le port HTTP. Ce qui signifie qu'il n'est pas sécurisé. Ce que je souhaite faire maintenant.

J'ai vu qu'il y a avait deux possibilités de le faire :

1. via https & un certificat,
2. via une authentification par soap personnalisé.

Dans le cas du https, je voudrais savoir si :

1. le port https est-il ouvert tout comme l'est le port 80 du http ?
2. au niveau du certificat, faut-il un certificat par poste client ou une clé de session ?

Enfin, vaut-il mieux utiliser le https, ou l'authentification par soap, ou combiné les deux ?

Merci par avance pour vos réponses.

[neptune]

HTTPS.

Même si tu demandes un mot de passe dans ta WebMethod, tu n'est pas à l'abris d'un sniffer car il sera envoyé en clair sur le réseau.

[soso78]

Merci de la réponse.

Si j'utilise https, que faut-il commer certificats ?

1 sur le serveur et 1 par poste client ?

ou seulement 1 sur le serveur ?

Quelle est la meilleure solution ?

D'autre part, il me semble qu'il faut utiliser SSL ou cela n'est pas obligatoire ?

PS. : pur l'authentification par soap, il est toujours possible d'utiliser une méthodologie de cryptage non ?

[neptune]

HTTPS c'est HTTP + SSL. Il te faudra un certificat côté serveur.

Alors oui, tu peux crypter les éléments de ta communication. Mais choisit bien ton algorithme. Enfin ca dépend de la côte critique de ton application.

[soso78]

Ok, merci pour ces précisions, je regarde ça.

Encore une question : s'il faut un certificat uniquement côté serveur (ce qui est pas mal), comment, côté client, la sécurité peut-elle être assurée ?

[neptune]

Cryptographie asymétrique.

http://fr.wikipedia.org/wiki/Cl%C3%A9_publique

[soso78]

Ok, merci pour toutes ces précisions.

Si on utilise https, faut-il ouvrir ce port, ou est-il ouvert par défaut comme pour le HTTP ? Autrement dit, y-a-t-il une opération à faire sur le firewall ou pas ?

[neptune]

HTTPS c'est sur 443. De quel firewall parles tu? client ou serveur? Quoi qu'il en soit, côté serveur ca doit être ouvert dans les deux sens et côté client au moins en sortie. Mais on s'écarte du sujet là.