Brace yourself, here there's another coming :-)
Hoje tive que explicar à minha namorada a diferença entre o poder expressivo do WS-Security em oposição ao HTTPS. Ela é uma cientista da computação, portanto, mesmo que ela não conheça todo o XML Mumbo Jumbo que entende (talvez melhor que eu) o que significa criptografia ou assinatura. No entanto, eu queria uma imagem forte, que pudesse fazê-la realmente entender para que as coisas são úteis, e não como elas são implementadas (que vieram um pouco mais tarde, ela não escapou :-)).
Então é assim. Suponha que você esteja nu e precise dirigir sua motocicleta para um determinado destino. No caso (A), você passa por um túnel transparente: sua única esperança de não ser preso por comportamento obsceno é que ninguém esteja olhando. Essa não é exatamente a estratégia mais segura com a qual você pode sair ... (observe a gota de suor na testa do cara :-)). Isso é equivalente a um POST em claro, e quando digo "equivalente", quero dizer isso. No caso (B), você está em uma situação melhor. O túnel é opaco, portanto, desde que você entre nele, seu registro público estará seguro. No entanto, essa ainda não é a melhor situação. Você ainda precisa sair de casa e chegar à entrada do túnel e, uma vez fora do túnel, provavelmente terá que descer e caminhar para algum lugar ... e isso vale para HTTPS. Verdade, sua mensagem é segura enquanto atravessa o maior abismo: mas depois que você a entrega do outro lado, você não sabe realmente quantos estágios serão necessários antes de chegar ao ponto real em que os dados serão processados. E é claro que todos esses estágios poderiam usar algo diferente do HTTP: um MSMQ clássico que armazena em buffer solicitações que não podem ser atendidas imediatamente, por exemplo. O que acontece se alguém espreita seus dados enquanto eles estão naquele limbo de pré-processamento? Hum. (leia este "hm" como o pronunciado por Morfeu no final da frase "você acha que é o ar que está respirando?"). A solução completa (c) nesta metáfora é dolorosamente trivial: use roupas danadas em si mesmo e especialmente no capacete enquanto estiver na motocicleta !!! Assim, você pode circular com segurança sem precisar confiar na opacidade dos ambientes. A metáfora é esperançosamente clara: as roupas acompanham você, independentemente da média ou da infraestrutura circundante, como a segurança no nível de mensagens. Além disso, você pode optar por cobrir uma parte, mas revelar outra (e pode fazer isso pessoalmente: a segurança do aeroporto pode tirar sua jaqueta e sapatos, enquanto o médico pode ter um nível de acesso mais alto), mas lembre-se de que camisas de mangas curtas são má prática, mesmo que você tenha orgulho do seu bíceps :-) (melhor uma polo ou uma camiseta).
Fico feliz em dizer que ela entendeu! Devo dizer que a metáfora da roupa é muito poderosa: fiquei tentada a usá-la para introduzir o conceito de política (os clubes de discoteca não deixam você usar calçados esportivos; você não pode sacar dinheiro em um banco de cueca , embora isso seja perfeitamente aceitável ao se equilibrar em um surf; e assim por diante), mas achei que por uma tarde era o suficiente ;-)
Arquitetura - WS, idéias selvagens
Cortesia: http://blogs.msdn.com/b/vbertocci/archive/2005/04/25/end-to-end-security-ou-why-you-shouldn-t-drive-your-motorcycle-naked. aspx