Quali sono gli impatti dell’impostazione establishSecurityContext = “False” se utilizzo https?

Il servizio WFC utilizza wsHttpBinding configurato con:

    

Uno dei nostri partner sta cercando di invocare i nostri servizi utilizzando la libreria java the Metro. Hanno questo problema Devo impostare establishSecurityContext = “False” perché funzioni. Abbiamo fatto un test rapido e funziona davvero quando l’ho impostato su false.

Quale sarebbe l’impatto di non utilizzare sessioni sicure (impostando establishSecurityContext = “False”). Sto già lavorando su https. Quindi sarò OK in termini di sicurezza? E ci sono altri impatti da considerare (forse la performance)?

Grazie

La differenza consiste nel fatto che l’endpoint abilitato non-SCT (security context token), lo scambio e la convalida delle chiavi deve essere eseguito per chiamata anziché essere eseguito una volta e memorizzato nella cache per la sessione e solo un SCT passato nei messaggi. Gli SCT sono basati su una chiave simmetrica che li rende molto più efficienti per la firma / crittografia del messaggio. L’uso di un SCT è molto buono quando si prevede che il client effettui molte chiamate in successione perché allevia la necessità di eseguire lo scambio e la convalida di un tasto one off ogni volta.

Quello che vorrei raccomandare è di esporre un altro endpoint per i client che non supportano SCT e dire loro di usarlo. I client che possono utilizzare gli SCT continuano a puntare sull’endpoint predefinito e mantengono tutti i vantaggi che ne derivano.

Per ulteriori informazioni sull’argomento, consultare la sezione tre della documentazione WS-SecureConversation .