INSTITUTO TECNOLOGICO DETEHUACANINGENIERIA EN SISTEMASCOMPUTACIONALESServicios WebMateria: Programación WebAlumnos:Gómez H...
SERVICIOS WEBLa W3C define "Servicio web" como un sistema de software diseñado para permitir interoperatibilidadmáquina a ...
SERVICIOS WEB DE GOOGLE                                              GOOGLE EARTHGoogle Earth, tal como hoy lo conocemos, ...
GOOGLE TALKGoogle Talk es un servicio sencillo y gratuito que permite realizar llamadas de voz y enviar mensajesinstantáne...
GOOGLE DOCSGoogle Docs&Spreadsheets es un programa gratuito basado en Web para crear documentos en línea con laposibilidad...
SERVICIOS WEB DE MICROSOFT                                                    SKYPESkype es un software que permite comuni...
El 10 de Mayo de 2011 Microsoft anunció la compra completa de Skype por 8.500 millones de dólares5 con elobjetivo de refor...
HOTMAILHotmail es un proveedor de correo electrónico tanto gratuito como de pago. Tienen presencia en gran partedel mundo....
•   De un solo vistazo verás si un mensaje de correo electrónico parece sospechoso   •   Destruye el correo electrónico no...
SharePoint o los servicios en línea de Microsoft para los usuarios de negocios. Sin embargo, evaluadores de laversión beta...
SERVICIOS WEB DE SEGURIDADEl desarrollo de una aplicación exige trabajar con un conjunto de cuestiones de seguridad. El ot...
Seguridad del servicio Web XML    •   Los servicios Web XML que utilicen archivos .asmx se ejecutan como aplicaciones Web ...
Para escenarios “de servicio Web a servicio Web”:    •    Utilice la autenticación básica o Kerberos y establezca las cred...
tiquets" (TGS o Ticket Granting Server). Kerberos trabaja sobre la base de "tickets", los cuales sirven parademostrar la i...
14. Cuando el cliente recibe los mensajes E y F, ya tiene suficiente información para autenticarse contra el              ...
Así pues, el enfoque REST lleva a considerar los servicios web como recursos que "verdaderamente están en laweb" y con cuy...
Cisco (NASDAQ: CSCO) anunció hoy que trae al mercado mexicano la solución de Seguridad Cisco ScanSafeCloud Web, a través d...
Con la introducción del nuevo servicio, Microsoft ha anunciado que abandona su Passport Express Purchase,que finalizará en...
Servicios web
Upcoming SlideShare
Loading in …5
×

Servicios web

745 views

Published on

Definición de Servicio Web, Ejemplos de los servicios web que ofrecen Google y Microsoft ademas de los que proporcionan seguridad.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
745
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Servicios web

  1. 1. INSTITUTO TECNOLOGICO DETEHUACANINGENIERIA EN SISTEMASCOMPUTACIONALESServicios WebMateria: Programación WebAlumnos:Gómez Huerta Irais VivianOsorio Castillo RosarioSánchez Gil Juan Isaac
  2. 2. SERVICIOS WEBLa W3C define "Servicio web" como un sistema de software diseñado para permitir interoperatibilidadmáquina a máquina en una red. En general, los servicios web son sólo APIs Web que pueden ser accedidas enuna red, como internet, y ejecutadas en un sistema de hosting remoto.En términos sencillos, un servicio web es cualquier sistema de software diseñado para soportar interacciónmáquina a máquina sobre una red.Esta amplia definición abarca múltiples y diferentes sistemas, pero en general "servicio web" suele referir aclientes y servidores que se comunican usando mensajes XML que siguen el estándar SOAP.En definitiva, permite comunicación entre diferentes máquinas, con diferentes plataformas y entre programasdistintos. Esta comunicación se logra a través de la adoptación de diversos estándares abiertos.El organismo WS-I se creó para mejorar la interoperatibilidad entre las distintas implementaciones de losservicios web.Algunas especificaciones que define el servicio webLas especificaciones que definen los servicios web son intencionalmente modulares y esto resulta en que nohay ni un sólo documento que las contenga a todas ellas. Tampoco no hay ni un solo conjunto estable deespecificaciones.SOAP, WSDL, UDDI, WS-Security, WS-ReliableMessaging, WS-Reliability, WS-AddressingVENTAJAS DE LOS SERVICIOS WEB Aumenta la interoperatibilidad entre programas independientemente de la plataforma en donde están instalados. Aumenta la interoperatibilidad entre servicios y programas de diferentes compañías y ubicados en diferentes lugares geográficos. Fomentan los estándares y protocolos basados en texto, haciendo más fácil acceder y entender su contenido y funcionamiento (pero, en general, produciendo una baja en su rendimiento). Al emplear HTTP, pueden utilizar un sistema firewall sin cambiar las reglas de filtrado.DESVENTAJAS DE LOS SERVICIOS WEB No son tan desarrollados para realizar transacciones comparado a otros sistemas como CORBA (CommonObjectRequestBrokerArchitecture). Su rendimiento es bajo comparado con otros sistemas como CORBA, DCOM o RMI, especialmente por el uso de protocolos y estándares basados en texto.A continuación les presentamos tres diferentes servicios web que nos ofrecen: Google, Microsoft y servicioscon respecto a la seguridad.
  3. 3. SERVICIOS WEB DE GOOGLE GOOGLE EARTHGoogle Earth, tal como hoy lo conocemos, fue en su día un programa llamado Keyhole que costaba cerca de 90dólares. Cuando Google compró Keyhole también compró terabytes de mapas digitales, y tuvo la idea deofrecer una versión básica de forma gratuita para probar este software, como casi todos los servicios de Googlecomienza de manera gratuita y va escalando poco a poco las aplicaciones.Por su parte Google Maps fue anunciado por primera vez el 8 de febrero del 2005 y estuvo en su fase beta 6meses, para conseguir una buena sincronía entre las acciones del usuario y la respuesta de la aplicación Googleutilizó Ajax. Fue ya en junio del 2005 Google cuando lanzó su API de Google Maps, haciendo oficialmentemodificable casi cualquier aspecto de la interfaz original.Google Maps es el nombre de un servicio gratuito de Google. Es un servidor de aplicaciones de mapas en laWeb. Ofrece imágenes de mapas desplazables, así como fotos satelitales del mundo entero e incluso la rutaentre diferentes ubicaciones o imágenes a pie de calle Street View.Es similar a Google Earth, una aplicación Windows/Mac/Linux que ofrece vistas del Globo terráqueoimpactantes, pero que no es fácil de integrar a páginas Web.Ofrece, asimismo, la posibilidad de que cualquier propietario de una página Web integre muchas de suscaracterísticas a su sitio.Las fuentes de los mapas disponibles son principalmente: satélites y aviones aunque también se vale de mapasdigitalizados de compañias como TeleAtlas y EarthSat, obviamente cuando vemos los mapas no los vemos entiempo real aunque Google asegura que la información no tiene más de tres años y que son continuamenteactualizados.Por este gran número de fuentes es por lo que no todas las imágenes tiene la misma resolución, las hay más ymenos definidas, y parte del proceso de actualización consiste en la inclusión de mayores resoluciones enalgunas áreas.
  4. 4. GOOGLE TALKGoogle Talk es un servicio sencillo y gratuito que permite realizar llamadas de voz y enviar mensajesinstantáneos. Se trata de una aplicación descargable de Windows que permite que las comunicaciones entiempo real sean simples e intuitivas.INSTRUCCIONES DE USODescarga Google Talk e instalalo, cuando hayas instalado Google Talk en tu equipo, regístrate con tu nombre deusuario y contraseña de Gmail. Tus contactos de Gmail se incluirán automáticamente en tu Lista de amigos deGoogle Talk, de modo que podrás llamar y chatear con ellos cuando se instalen Google Talk.Lo único que necesitas para realizar llamadas con Google Talk es una dirección de Gmail, una conexión aInternet, un micrófono y unos altavoces. Eso es todo. Da igual que tus amigos se encuentren en la otra puntadel mundo, podrás hablar con ellos durante el tiempo que quieras. Todas las llamadas son gratuitas y la calidadde voz es excelente. Para obtener una calidad óptima, recomendamos el uso de auriculares. Google Talktambién realiza las mismas funciones que el Notificador de Gmail; puede mostrar notificaciones de mensajesnuevos en tu cuenta de Gmail, así como de llamadas o chats entrantes.La versión beta de Google Talk fue lanzada el 24 de agosto de 2005.Google Talk sustenta bajo el protocolo de interoperabilidad de Jabber/XMPP, siendo configurable enprogramas como Psi, Miranda IM, iChat y Pidgin (anteriormente llamado Gaim), entre otros. Para que uncliente XMPP se pueda conectar necesita cifrado TLS y autenticación SASL PLAIN a través del puerto 5222.El hecho de que Google haya utilizado XMPP como protocolo ha sido una gran noticia para mucha gente quepiensa que esto servirá para que XMPP se extienda y aumente sus prestaciones.El protocolo que Google ha desarrollado para la comunicación por voz, Jingle, ha sido liberado desde el primermomento, de tal forma que cualquier cliente lo puede incluir. Psi y Pidgin planean incluirlo.
  5. 5. GOOGLE DOCSGoogle Docs&Spreadsheets es un programa gratuito basado en Web para crear documentos en línea con laposibilidad de colaborar en grupo. Incluye un Procesador de textos, una Hoja de cálculo, Programa depresentación básico y un editor de formularios destinados a encuestas.Google Docs se originó de dos productos separados, Writely y Google Spreadsheets. Writely era un procesadorde texto individual en red creado por la compañía de software Upstartle, el cual fue lanzado en agosto de 2005.Sus características originales incluían un sitio para la edición de textos en colaboración, además de controlespara su acceso. Los menús, atajos en el teclado y cuadros de diálogo eran presentados de una manera muysimilar a la que los usuarios suelen esperar en un procesador de texto tradicional,como OpenOffice.org o Microsoft Office.En el momento de la adquisición, Upstartle tenía 4 empleados. Writely cerró los registros a sus servicios hastaque estuviese completo el movimiento a los servidores de Google. En agosto de 2006Writely envió invitacionesde cuentas a todos aquellos que hubieron requerido ser ubicados en una lista de espera y luego se volviódisponible al público el 23 de agosto. Writely continuó manteniendo su propio sistema de usuarios hasta el 19de septiembre de 2006 cuando fue integrado con Google Accounts.Writely se ejecutaba originalmente sobre tecnología Microsoft ASP.NET, la cual usa Microsoft Windows. Desdejulio de 2006, los servidores de Writely funcionan bajo el sistema operativo Linux.Mientras tanto, Google desarrolló Google Spreadsheets introduciendo muchas de las bondades encontradashoy en Google Docs. Google anunció Spreadsheets el 6 de junio de 2006 e inicialmente lo puso a disposiciónsólo de una cantidad limitada de usuarios, según orden de llegada. El test limitado fue reemplazado despuéscon una versión beta disponible para todos los titulares de una cuenta de Google. En febrero de 2007 Google Docs fue liberado para todos los usuarios de Google Apps. En junio del mismo año Google cambió la página principal para incluir carpetas en vez de etiquetas organizadas en una barra lateral. El 17 de septiembre del 2007 Google lanzó su programa de presentación para Google Docs. A partir de enero del 2010, Google ha empezado a aceptar cualquier archivo subido en Google Docs.Google Docs está alojado de forma segura en la Web, lo que te ofrece la posibilidad de trabajar desde tupuesto de trabajo, en casa, cuando vas de un lugar a otro, a través del teléfono móvil e incluso sin conexión.Google Docs funciona en el navegador de equipos PC, Mac y Linux, y es compatible con formatos comunescomo .doc, .xls, .ppt y .pdf.Es posible acceder a los archivos guardados en Google Docs en todo momento. Además, se realiza una copia deseguridad online de todos los archivos.Los administradores pueden gestionar los permisos para el uso compartido de archivos en todo el sistema y lospropietarios de documentos pueden compartir y suspender en cualquier momento el acceso a los archivos.
  6. 6. SERVICIOS WEB DE MICROSOFT SKYPESkype es un software que permite comunicaciones de texto, voz y vídeo sobre Internet (VoIP). Fue desarrolladoen 2003 por el danés JanusFriis y el sueco NiklasZennström.. El código y protocolo de Skype permanecencerrados y propietarios, pero los usuarios interesados pueden descargar gratuitamente la aplicación ejecutabledel sitio web oficial. Los usuarios de Skype pueden hablar entre ellos gratuitamente.Esta aplicación también incluye una característica denominada YY SkypeOut,2 que permite a los usuarios llamara teléfonos convencionales, cobrándoseles diversas y bajas tarifas según el país de destino, pudiendo llamar acasi cualquier teléfono del mundo.Otra opción que brinda Skype es SkypeIn, gracias a la cual se otorga un número de teléfono para que desde unaparato telefónico, en cualquier parte del mundo, se pueda contactar al computador. Además, se provee de unservicio de buzón de voz.En septiembre de 2005 la empresa fue comprada por eBay por 2.600 millones de dólares. Sin embargo, en Juliode 2009 los desarrolladores antiguos del sistema demandaron a eBay porque las licencias de Joltid (que proveelos códigos que utiliza el núcleo del sistema y que es una subsidiaria de los antiguos dueños) habían caducado yeBay estaba infringiendo sus derechos al seguir usándolas.3 Finalmente y al no poder reemplazar la tecnologíaque estaba siendo infringida, eBay vendió el 70% de su participación de Skype a Silver Lake Partners, un grupoque si incluye a Joltid.4En octubre de 2010, Skype 5.0 para Windows fue liberada con un conjunto de complementos y nuevasfunciones, entre las más importantes, la inclusión de una pestaña de Facebook que permite a sus usuariosenviar mensajes SMS, efectuar chat o llamar a sus amigos de Facebook, directamente del Feed de Noticias. Porotra parte la versión 5 ha empeorado la usabilidad de la pantalla compartida y del acceso a los teléfonos de loscontactos.
  7. 7. El 10 de Mayo de 2011 Microsoft anunció la compra completa de Skype por 8.500 millones de dólares5 con elobjetivo de reforzar su negocio de Smartphones.Tiene la finalidad de conectar a los usuarios vía texto (mensajería instantánea), voz (VoIP) o vídeo. Una de susfortalezas es la comunicación gratuita por voz entre usuarios de Skype de cualquier punto del mundo. Tambiénrealiza llamadas especiales, aunque pagadas a muy bajo coste, entre ordenador y red fija o móvil.Se puede utilizar de las siguientes formas: Comunicación gratuita por texto, voz o vídeo entre dos usuarios de Skype con computadores personales conectados a Internet. Comunicación grupal o conferencia de voz gratuita (videoconferencia grupal es de pago) entre varios usuarios de Skype, todos ellos con PC conectados a Internet. Generación de llamadas de voz a bajo coste desde un usuario de Skype con PC conectado a Internet, hacia teléfonos de red fija o móvil. Comunicación y envío de datos a bajo coste (texto y gráficos) desde un usuario de Skype con PC conectado a Internet hacia equipos de fax (u ordenadores con software de fax) conectados a redes de telefonía fija. Llamadas de voz a tarifa de llamada local desde teléfonos de red fija o móvil al número telefónico de un usuario abonado a Skype con PC conectado a Internet. Comunicación y envío de datos a tarifa de llamada local desde equipos de fax conectados a redes de telefonía fija hacia un abonado de Skype con PC conectado a Internet. Comunicación por desvío telefónico y de texto a bajo coste desde teléfonos de red fija o celular hacia un abonado de Skype con PC conectado a Internet.Skype utiliza un protocolo propietario de telefonía VoIP. Parte de la tecnología usada por Skype pertenecen aJoltid Ltd. corporation. La gran diferencia entre este software y otros estándar de análoga funcionalidad, es queSkype opera en base al modelo P2P (originalmente usado en el software Kazaa en 2001) en vez del usualmodelo Cliente-Servidor. Nótese que el modelo más popular, SIP, de VoIP también es P2P, pero suimplementación generalmente requiere su registro en un servidor.El éxito de Skype reside en la gran compresión de datos que realiza, sin afectar prácticamente a la calidad de latransmisión de voz, y en establecer una conexión con un clúster de servidores(servidores redundantes) deSkype para iniciar la sesión de comunicación, durante la que se devuelve la lista de contactos. Cuando se hainiciado la llamada, se establece una conexión directa con el dispositivo de la persona.El programa ha sido desarrollado en lenguaje Pascal usando el entorno Delphi, más tarde fue portadoa GNU/Linux y basándolo en las librerías Qt.Skype utiliza el algoritmo AES de 256-bit para cifrar la voz, los archivos transferidos o el mensaje instantáneo.Para la versión pagada se utiliza el algoritmo RSA de 2048-bit para el acceso a voicemail[1] y de 1536-bitdurante la negociación para establecer la conexión. Para ello utilizan una clave asimétrica, que permite evitarataques del tipo man-in-the-middle.
  8. 8. HOTMAILHotmail es un proveedor de correo electrónico tanto gratuito como de pago. Tienen presencia en gran partedel mundo. Actualmente pertenece a MSN, empresa de Microsoft.SabberBhatia originario de la Chandigarh (India), llegó a los Angeles California en 1988. El Instituto Tecnológicode California le otorgo una beca. Pensaba titularse y regresar a su país a trabajar, quizá como un ingeniero.Cuatro años después, como estudiante de posgrado en la Universidad Stanford, Bhatia acudía a comidas dondeoía hablar a empresarios de éxito. Cuando se graduó no quizo regresar a su país, así que con un amigo de launiversidad llamado Jack Smith, aceptó un empleo de ingeniero en computación en Apple Computer.Bhatiaempezo a asistir a fiestas de grupos de empresarios, y en las conversaciones escuchaba de gentes quedecía que creaban una idea y la vendían en millones de dólares. Esas conversaciones se las contaba a su amigoJack Smith y juntos empezarón a creer sus propias ideas.Querían enviarse correos electrónicos pero temían que sus jefes los leyeras y los acusarán de trabajar enproyectos personales.Un día llamando por teléfono a Smith se le ocurrió una idea, crear un servicio de correo electrónico simple,seguro y gratuito, y que pudiera ser consultado desde cualquier parte del mundo, yá que funcionaría através deInternet. Bhatia se entusiasmo con la idea, le pidió a su amigo que colgará el teléfono porque no quería quenadie les escuchará hablar de ello.Al principio de Bathia y Smith les costó trabajo sacar su proyecto. Pero el 4 de Julio de 1996 el día de laIndependencia estadounidense, para simbolizar la libertad de la Red frente al poder establecido de lascorporaciones lanzaron su compañía llamada HoTMaiL.Fue una corporación, Microsoft, la que se interesó primero por el proyecto, que crecía a ritmos endiablados: unmillón de suscriptores a la semana, más de 100.000 al día, nueve millones en total. Ningún otro servicio decorreo ha crecido tanto y tan deprisa. La leyenda dice que la empresa de Bill Gatesofreció 200 millones dedólares, y que Bahtia los rechazó de plano: pidió 500.Microsoft compró Hotmail, finalmente, en diciembre de1997. Pagó 400 millones por ella. Hotmail tiene ahora 220 millones de usuarios.Hotmail utiliza AJAX, técnica de programación y apoya a los navegadores más populares (InternetExplorer, Safari, Google Chrome y Mozilla Firefox). Algunas de sus características incluyen controles de tecladodando la posibilidad de desplazarse por la página sin utilizar el ratón, la capacidad de buscarmensajes7 incluyendo la sintaxis de consulta estructurado como "de: eBay", filtros de mensajes, basada en lacarpeta de organización de los mensajes, finalización automática de direcciones de contacto al redactar,contacto agrupados, importación y exportación de contactos como archivos CSV, formato de texto enriquecido,firmas de texto enriquecido, filtrado de spam y antivirus, soporte para múltiples direcciones y diferentesversiones lingüísticas. Acceso POP3 ahora está disponible para todas las cuentas.Cuenta con las siguientes características: • 2 GB completos de almacenamiento • Nuevo diseño: elige tus propios colores y diseños • Comienza con la versión básica de aspecto tan familiar: cambia a la vista completa en cualquier momento para ver las características avanzadas
  9. 9. • De un solo vistazo verás si un mensaje de correo electrónico parece sospechoso • Destruye el correo electrónico no deseado con un solo clic • Detección y limpieza de virus muy eficaz • Obtén una vista previa de tus mensajes en el panel de lectura revia • Organización eficaz con la característica Arrastrar y colocar OFFICE WEB APPSOffice Web Apps fue revelada el 28 de octubre de 2008 en la Professional DevelopersConference (PDC) 2008en Los Ángeles.1 Microsoft originalmente anunció que las aplicaciones de Office Web estará disponible a través travde su oferta de Office Live Workspace. Durante 2008 PDC, aplicaciones Web de Office fue anunciado a seralimentada por AJAX, así como Silverlight, sin embargo este último es opcional y su disponibilidad sólo Silverlight,"mejorará la experiencia de usuario,." lo que resulta en ofrecer imágenes más nítidas y mejorrepresentación2 Presidente de Microsofts Business Division Stephen Elop afirmó durante el PDC 2008 que "unavista previa de tecnología de aplicaciones Office Web pasaría a ser disponible más adelante en el 2008",3 sinembargo, no fue publicado la previsualización técnica de Office Web Apps hasta 2009.El 13 de julio de 2009, Microsoft anunció en la WorldwidePartnersConference 2009 en NuevaOrleans que Microsoft Office 2010 ha alcanzado su hito de desarrollo de "Vista previa técnica" y característicasde Office Web Apps demostró al público para el primer tiempo.4 Además, Microsoft anunció también queOffice Web Apps está disponible a los usuarios de tres maneras: a través de Windows Live para losconsumidores (en lugar de la anunciada anteriormente Office Live Workspace), o bien a través de Microsoft
  10. 10. SharePoint o los servicios en línea de Microsoft para los usuarios de negocios. Sin embargo, evaluadores de laversión beta de Microsoft Office 2010 no tuvieron acceso a la Oficina de aplicaciones Web en esta fecha, y seanunció que estará disponible para evaluadores en agosto de 2009.5 sin embargo, en agosto de 2009, unportavoz de Microsoft afirmó que ha sido un retraso en el lanzamiento de Office Web Apps TechnicalPreview yno estuvo disponible a finales de agosto.6Microsoft ha publicado oficialmente la TechnicalPreview de Office Web Apps el 17 de septiembre de2009.7 Office Web Apps fue puesto a disposición de evaluadores seleccionados a través del servicio WindowsLive SkyDrive. Se señaló que la versión no incluye todas las funcionalidades de las aplicaciones Office Web Appsy no incluye la aplicación Web de OneNote ni la capacidad de editar documentos de Microsoft Word.La versión final fue lanzada el 7 de junio de 2010.Es una versión gratuita basada en la web del conjunto de aplicaciones de productividad de Microsoft Office.Incluye Word Web App,Excel Web App, PowerPoint Web App, y OneNote Web App. Las aplicaciones webpermiten a los usuarios acceder a sus documentos directamente desde cualquier parte dentro de un navegadorweb así como compartir archivos y colaborar con otros usuarios en línea. Navegadores compatiblesincluyen Internet Explorer (versiones 7, 8 y 9), Mozilla Firefox (versiones 3 y 4), Safari 3, 4 y 5 y GoogleChrome (versiones 9, 10, 11).Office Web Apps está disponible a través de tres canales: Los consumidores son capaces de tener acceso a Office Web Apps a través de Windows Live SkyDrive Los clientes de Microsoft Software Assurance son capaces de alojar en Office Web Apps en de las instalaciones como parte de SharePoint Server Empresas y corporaciones también son capaces de usar Office Web Apps mediante Microsoft Online ServicesA la hora de trabajar de forma colaborativa podemos compartir los documentos y editarlos a la vez ambosusuarios de forma simultánea. Es una opción interesante, como lo es la posibilidad de compartir losdocumentos y archivos de manera que no tengamos que estar anexándolos a los correos que enviamos.Se ha probado también desde Linux, con la edición desde el navegador y la verdad es que funciona muy bien.Nada que envidiar a otras opciones en la nube, como pueden ser las de Google Docs o Zoho.
  11. 11. SERVICIOS WEB DE SEGURIDADEl desarrollo de una aplicación exige trabajar con un conjunto de cuestiones de seguridad. El otro conjunto decuestiones (que suelen ser las más destacadas en cualquier comentario acerca de la seguridad Web) se refierena la seguridad de la aplicación una vez implementada y en ejecución.Las aplicaciones Web, por definición, permiten el acceso de usuarios a recursos centrales, el servidor Web y, através de éste, a otros como los servidores de base de datos. Comprender e implementar las medidas deseguridad adecuadas permite: • Proteger los recursos propios contra accesos no autorizados. • Restringir los niveles de acceso por usuario o por función. • Establecer integridad de datos y confidencialidad, proporcionando un entorno relativamente seguro en el que los usuarios se encuentren cómodos al trabajar con su aplicación. • Establecer control sobre cómo la aplicación obtiene acceso a recursos restringidos. • Garantizar que el código de la aplicación se ejecuta de la forma esperada.Este tema proporciona un comentario general sobre cómo llevar a cabo estos objetivos, e incluye vínculos contemas adicionales en los que se pueden obtener más detalles acerca de las tecnologías implicadas.Puede ayudar a proteger su aplicación de acceso no autorizado aprovechando estos tipos de características deseguridad: • Características de seguridad que ofrecen los Servicios de Internet Information Server (IIS) como parte de su funcionalidad general de servidor Web. Esto es, seguridad de nivel de usuario, equipo y archivo de Windows. • La seguridad que se puede incorporar a la aplicación ASP.NET para proporcionar acceso específico para la aplicación.Proceso de seguridad en ASP.NET • IIS proporciona muchas opciones de seguridad para los sitios Web. Sin embrago, los mecanismos de seguridad de IIS son muy genéricos, ya que se utilizan los mismos mecanismos para todas las aplicaciones. Además, es posible que las opciones de seguridad de IIS, por ejemplo, la seguridad integrada de Windows, no siempre sean adecuadas para su aplicación. (Por otro lado, para las aplicaciones de intranet, tal vez prefiera utilizar la seguridad integrada de Windows que es más sencilla.) • Por lo tanto, para proporcionar acceso a partes específicas de su aplicación, puede utilizar seguridad de ASP.NET. La seguridad de ASP.NET funciona junto con la seguridad IIS pero la amplía para que pueda personalizar características, como por ejemplo, la obtención de credenciales de usuario. • IIS recibe en primer lugar solicitudes de los clientes, y efectúa las comprobaciones de seguridad establecidas para la aplicación mediante las herramientas de administración de IIS. Por ejemplo, si la aplicación se ha configurado en IIS de forma que permita el acceso anónimo, IIS no efectúa comprobación de credenciales. Una vez efectuada la comprobación inicial de autenticación, IIS envía una solicitud a ASP.NET, que puede llevar a cabo un segundo nivel de comprobación. ASP.NET permite especificar restricciones de acceso a la aplicación mediante diversos criterios: se puede restringir el acceso a páginas específicas, a usuarios específicos, etc.
  12. 12. Seguridad del servicio Web XML • Los servicios Web XML que utilicen archivos .asmx se ejecutan como aplicaciones Web que utilizan ASP.NET y por lo tanto participan en el mismo modelo de seguridad que cualquier aplicación ASP.NET. Por ejemplo, un servicio Web XML puede configurarse para utilizar autenticación básica o seguridad integrada en Windows. • En tiempo de diseño, al intentar agregar una referencia a un servicio Web XML (es decir, al solicitar los documentos de descubrimiento del servicio Web XML), dicho servicio efectuará una autenticación estándar de aplicación Web, según su configuración. Por ejemplo, si el servicio Web XML está configurado para utilizar autenticación básica, esperará obtener un nombre de usuario y una contraseña del cliente que efectúa la solución. Si el servicio Web XML utiliza autenticación básica, por ejemplo, el cuadro de diálogo Agregar referencia Web solicitará credenciales. • Si construye una aplicación que incluya llamadas a un servicio Web XML, deberá asegurarse de que dispone de las credenciales apropiadas antes de efectuar la llamada, o ésta fallará. En tiempo de ejecución, se pueden pasar credenciales al servicio Web XML estableciendo la propiedad Credentials del objeto de cliente que representa el servicio Web XML antes de llamar a sus métodos. • Puesto que otras opciones de seguridad de ASP.NET pueden no tener la suficiente flexibilidad, los servicios Web XML pueden implementar una solución de autenticación personalizada en la que la información de credenciales se pasa en encabezados SOAP. En esta solución, las credenciales se pasan como parte opcional del mensaje intercambiado entre cliente y servidor. Entonces se puede escribir un módulo HTTP personalizado (mediante la implementación de la interfaz IHttpModule) que puede escuchar la información del encabezado y llamar al código de autenticación. • Como sucede con otras aplicaciones ASP.NET, el servicio Web XML puede implementar autorizaciones específicas basadas en un rol para limitar el acceso a partes específicas de la aplicación. • Para obtener más detalles, vea Infraestructura de servicios Web XML y Proteger servicios Web XML creados mediante ASP.NET.ESCENARIOS DE USOEste tema se centra en la seguridad de los servicios Web (punto a punto) relativa tanto a la plataforma como altransporte que pueden ofrecer los servicios subyacentes de ASP.NET, IIS y el sistema operativo. Mientras que laseguridad de la plataforma permite soluciones seguras para escenarios de intranet estrechamente vinculados,no resulta conveniente para escenarios heterogéneos. Es por este motivo precisamente por el que se requierela seguridad que ofrece la especificación de seguridad WS-Security de la arquitectura GXA. Utilice WebServicesDevelopment Kit para crear soluciones de seguridad de mensajes para servicios Web.Para entornos de dominios Windows estrechamente vinculados: • Si desea transmitir la identidad del llamador original desde una aplicación Web de ASP.NET a un servicio Web remoto, la aplicación Web de ASP.NET debería utilizar la autenticación Kerberos (con cuentas configuradas para la delegación), básica o mediante Formularios. • Si utiliza la autenticación Kerberos, habilite la suplantación con la aplicación Web y configure la propiedad Credentials del proxy de servicio • Web mediante DefaultCredentials. • Si utiliza la autenticación básica o mediante Formularios, capture las credenciales del llamador y establezca la propiedad Credentials del proxy de servicio Web agregando un nuevo objeto CredentialCache.
  13. 13. Para escenarios “de servicio Web a servicio Web”: • Utilice la autenticación básica o Kerberos y establezca las credenciales en el proxy de cliente. • Utilice una aplicación de Servicios Empresariales o un servicio de Windows fuera de proceso para que manipule los certificados X.509 desde las aplicaciones Web. • En la medida de lo posible, utilice las comprobaciones de autorización de sistema como, por ejemplo, la autorización mediante archivos y direcciones • URL. • Si utiliza la autorización granular (en el nivel de método Web por ejemplo), utilice funciones .NET (tanto de forma declarativa como imperativa). • Autorice a los usuarios que no sean de Windows mediante funciones .NET (basadas en un objeto GenericPrincipal que contenga funciones). • Deshabilite los protocolos HTTP-GET y HTTP-POST en todos los servidores de producto. • Utilice la seguridad de transporte si no le preocupa transferir los mensajes de forma segura a través de sistemas intermedios. • Utilice la seguridad de transporte si el rendimiento de SSL es adecuado. • Utilice la especificación de seguridad WS-Security y Web Services.NTLMEs una suite de Microsoft de protocolos de seguridad que proporciona autenticación, integridad yconfidencialidad de los usuarios.NTLM es el sucesor del protocolo de autenticación de Microsoft LAN Manager(LANMAN), un mayor producto de Microsoft, y los intentos de proporcionar compatibilidad hacia atrás conLANMAN. NTLM versión dos (NTLMv2), que se introdujo en Windows NT 4.0 SP4 (y compatibles de formanativa en Windows 2000), mejora la seguridad NTLM por el endurecimiento del protocolo contra ataques desuplantación de muchos, y la adición de la capacidad de un servidor para autenticar al cliente.Microsoft no recomienda el uso de NTLM en aplicaciones:Los ejecutores deben ser conscientes de que NTLM no es compatible con los últimos métodos criptográficos,tales como AES o SHA-256. Se utiliza comprobación de redundancia cíclica (CRC) o un mensaje de algoritmos deresumen (RFC1321) para la integridad, y lo utiliza para el cifrado RC4. Derivación de una clave de unacontraseña es como se especifica en RFC1320 y FIPS46-2. Por lo tanto, las aplicaciones generalmente seaconseja no utilizar NTLM.Mientras que Kerberos ha sustituido NTLM de forma predeterminada el protocolo de autenticación en unActive Directory basado en inicio de sesión único esquema, NTLM es aún ampliamente utilizado en situacionesdonde un controlador de dominio no está disponible o es inaccesible. Por ejemplo, NTLM se usa si un cliente noes capaz de Kerberos, el servidor no está unido a un dominio, o el usuario se autentica de forma remota através de Internet.KERBEROSKerberos se basa en el Protocolo de Needham-Schroeder. Usa un tercero de confianza, denominado "centro dedistribución de claves" (KDC, por sus siglas en inglés: Key Distribution Center), el cual consiste de dos parteslógicas separadas: un "servidor de autenticación" (AS o Authentication Server) y un "servidor emisor de
  14. 14. tiquets" (TGS o Ticket Granting Server). Kerberos trabaja sobre la base de "tickets", los cuales sirven parademostrar la identidad de los usuarios.Kerberos mantiene una base de datos de claves secretas; cada entidad en la red sea cliente o servidorcomparte una clave secreta conocida únicamente por él y Kerberos. El conocimiento de esta clave sirve paraprobar la identidad de la entidad. Para una comunicación entre dos entidades, Kerberos genera una clave desesión, la cual pueden usar para asegurar sus interacciones.A continuación se describe someramente el protocolo. Se usaran las siguientes abreviaturas:AS = Authentication ServerTGS = Ticket Granting ServerSS = Service Server.FUNCIONAMIENTOEn resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el AS, así demuestra alTGS que está autorizado para recibir un ticket de servicio (y lo recibe) y ya puede demostrar al SS que ha sidoaprobado para hacer uso del servicio kerberizado.En más detalle: 1. Un usuario ingresa su nombre de usuario y password en el cliente 2. El cliente genera una clave hash a partir del password y la usará como la clave secreta del cliente. 3. El cliente envía un mensaje en texto plano al AS solicitando servicio en nombre del usuario. Nota: ni la clave secreta ni el password son enviados, solo la petición del servicio. 4. El AS comprueba si el cliente está en su base de datos. Si es así, el AS genera la clave secreta utilizando la función hash con la password del cliente encontrada en su base de datos. Entonces envía dos mensajes al cliente: 5. Mensaje A: Client/TGS sessionkey cifrada usando la clave secreta del usuario 6. Mensaje B: Ticket-Granting Ticket (que incluye el ID de cliente, la dirección de red del cliente, el período de validez y el Client/TGS sessionkey) cifrado usando la clave secreta del TGS. 7. Una vez que el cliente ha recibido los mensajes, descifra el mensaje A para obtener el client/TGS sessionkey. Esta sessionkey se usa para las posteriores comunicaciones con el TGS. (El cliente no puede descifrar el mensaje B pues para cifrar éste se ha usado la clave del TGS). En este momento el cliente ya se puede autenticar contra el TGS. 8. Entonces el cliente envía los siguientes mensajes al TGS: 9. Mensaje C: Compuesto del Ticket-Granting Ticket del mensaje B y el ID del servicio solicitado. 10. Mensaje D: Autenticador (compuesto por el ID de cliente y una marca de tiempo), cifrado usando el client/TGS sessionkey. 11. Cuando recibe los mensajes anteriores, el TGS descifra el mensaje D (autenticador) usando el client/TGS sessionkey y envía los siguientes mensajes al cliente: 12. Mensaje E: Client-to-server ticket (que incluye el ID de cliente, la dirección de red del cliente, el período de validez y una Client/Server sessionkey) cifrado usando la clave secreta del servicio. 13. Mensaje F: Client/server session key cifradausando el client/TGS session key.
  15. 15. 14. Cuando el cliente recibe los mensajes E y F, ya tiene suficiente información para autenticarse contra el información SS. El cliente se conecta al SS y envía los siguientes mensajes: 15. Mensaje E del paso anterior. 16. Mensaje G: un nuevo Autenticador que incluye el ID de cliente, una marca de tiempo y que está cifrado usando el client/server sessionkey. essionkey. 17. El SS descifra el ticket usando su propia clave secreta y envía el siguiente mensaje al cliente para confirmar su identidad: 18. Mensaje H: la marca de tiempo encontrada en el último Autenticador recibido del cliente más uno, cifrado el client/server sessionkey. r 19. El cliente descifra la confirmación usando el client/server sessionkey y chequea si la marca de tiempo está correctamente actualizada. Si esto es así, el cliente confiará en el servidor y podrá comenzar a usar el servicio que este ofrece. 20. El servidor provee del servicio al cliente.EJEMPLOS:1.- Servicios web de seguridad al estilo RESTRecientemente han emergido con gran fuerza las arquitecturas SOA que cumplen las restricciones de REST. Larazón fundamental de esta tendencia es que REST maximiza, mediante la imposición de uniformidad en lainterfaz "de aplicación", la que posiblemente sea la mayor de las virtudes de SOA, a saber, el desacoplamientoradical (loosecoupling) entre los sistemas proveedores de servicios y los consumidore característica ésta de la ) consumidores,que se deriva una capacidad casi absoluta de evolucionar los sistemas de forma independiente.En el caso particular de los servicios web, la aproximación al estilo REST es bien sencilla. En efecto, teniendo encuenta que HTTP (RFC 2616) es el protocolo web por excelencia y que los principios en los que se basa su RFCarquitectura son ya, de hecho, las restricciones que establece REST, la consecución de servicios web al estilode REST, se reduce a utilizar HTTP como protocolo del nivel de aplicación (Figura 2), en lugar de emplearlo nivelcomo transporte (ubícuo, eso sí) de los mensajes generados por otro nivel de aplicación distinto y"especializado" (Figura 1)
  16. 16. Así pues, el enfoque REST lleva a considerar los servicios web como recursos que "verdaderamente están en laweb" y con cuyas capacidades se interactúa (al nivel de aplicación) por medio del protocolo HTTP (GET, PUT,POST, DELETE). De este modo (Figura 2), a cada servicio web le corresponden uno o varios "recursos web",cada uno de los cuales se identifica con una URL distinta (i.e. esquema de identificación uniforme) eimplementa, con una semántica particular, la interfaz que "predefine" el protocolo HTTP (i.e. interfazuniforme).La plataforma TrustedX de Safelayer incorpora una pasarela de integración que ofrece la posibilidad, entreotras, de acceder y encadenar las funciones de la plataforma para exponerlas como servicios al estilo REST paraflexibilizar la incorporación de Servicios mediante esta tecnología.2.- CISCO SCANSAFECisco Trae a México Servicios Web de Seguridad en la Nube.
  17. 17. Cisco (NASDAQ: CSCO) anunció hoy que trae al mercado mexicano la solución de Seguridad Cisco ScanSafeCloud Web, a través de su modelo de ventas indirecto. ScanSafe asegura alto rendimiento e integridad duranteel acceso a cualquier dispositivo, en cualquier momento y en cualquier lugar, reduciendo la latencia de lanavegación en la web. El nuevo servicio combina la mejor seguridad para la navegación en la web con lafacilidad y flexibilidad que el software como servicio pueda ofrecer.Adecuado para todos los tamaños de negocios e industrias, la solución satisface las nuevas demandas de lascorporaciones IT, que incluyen el asegurar tanto la movilidad como la flexibilidad para acceder a la redcorporativa de manera transparente y segura. Con ScanSafe, los dispositivos móviles pueden navegar la websin la necesidad de dirigir el acceso al sitio central corporativo, o de instalar soluciones de seguridad en ellos. Loanterior se realiza a través de los dispositivos de acceso directo al servicio de clasificación de páginas web,análisis de contenido, antivirus y antimalware de Seguridad como Servicio (SaS) de Cisco. El perfil de accesoestá definido en la política de cada compañía."El uso de ScanSafe ofrece una nueva manera de navegar para los usuarios corporativos de dispositivosmóviles. Además, el modelo de adopción de software como servicio permite que todos los aspectos deescalabilidad, confiabilidad, seguridad y mantenimiento sean administrados por el cliente. Esto asegura elahorro de tiempo, dinero y esfuerzo, ofreciendo capacidades mejoradas para los clientes corporativos", dijoOscar Gutiérrez, Gerente de Redes sin Fronteras, Cisco México.El control y la administración se realizan a través de portales personalizados para cada compañía, asegurandoun alto nivel de reportes e información del perfil de tráfico de los usuarios. La solución ScanSafe puede serintegrada a la línea de routers Cisco ISR - IntegratedServicesRouter. De esta manera, todos los usuarios queestán en una sucursal, por ejemplo, pueden utilizar esta herramienta accediendo al Cloud ScanSafedirectamente a través del router.ScanSafe está disponible en México a través de los socios de canales y distribución de Cisco.3.- MICROSOFT MSN WALLETMicrosoft ha decidido apostar por sus servicios Web el jueves, anunciando el servicio de compras onlineWallet, al tiempo que refuerza las características de privacidad y seguridad de su sistema de identificación de lacontraseña .Net Passport.MSN Wallet, que se lanza como un servicio gratuito de MSN, almacena la información de direcciones y pagosde los usuarios cuando efectúan su compra online, permitiéndoles hacer posteriores adquisiciones sin tenerque rescribir los datos.
  18. 18. Con la introducción del nuevo servicio, Microsoft ha anunciado que abandona su Passport Express Purchase,que finalizará en marzo de 2003. El servicio funcionaba como parte de Passport, pero la compañía ahorapretende separar los servicios de verificación de identidad y compras online.El nuevo movimiento de Microsoft implica un esfuerzo de la compañía para mejorar la seguridad de susservicios web. Recientemente, Microsoft empezó a informar a sus usuarios de que estaba haciendo cambiosclaves en la seguridad y privacidad de .Net Passport. Sin ir más lejos, la compañía pretende que las nuevascuentas sean creadas con una válida dirección de correo electrónico, para resolver los problemas relacionadoscon los usuarios que crean direcciones falsas. Una vez que el usuario crea una nueva cuenta, recibirá un correoelectrónico con enlaces a los que debe acceder para validar la cuenta.Microsoft también pretende mover la interfaz de usuario .Net Passport a otro nombre de dominio, paraprevenir una vulnerabilidad potencial que permitiría acceder a las cookies del usuario y utilizar la contraseña.Microsoft también ha resuelto un problema común para los usuarios: darse de baja en una cuenta de Passport.En lugar de tener que llamar a Atención al cliente y seguir un proceso manual, los usuarios de Passport podráncerrar sus cuentas en una página de servicios para miembros: memberservices.passport.net.Además de resolver algunos asuntos relacionados con su servicio de identificación, la compañía tambiénintenta garantizar a los usuarios la seguridad de MSN Wallet, que encripta la información de los clientes y laalmacena en bases de datos en servidores localizados en instalaciones cuyo acceso está controlado. El serviciode compra formará parte de la familia de sitios web Ritz Interactive, que incluyen los sitios de fotografíaRitzcamera.com y WolfCamera.com. Los usuarios pueden registrarse en la cuenta de MSN Wallet enwallet.msn.com. usando una cuenta de Passport. ENLACES DE REFERENCIAhttp://www.alegsa.com.ar/Dic/servicio%20web.phphttp://es.wikipedia.org/wiki/Google_Docshttp://www.google.com/apps/intl/es/business/docs.htmlhttp://es.wikipedia.org/wiki/Google_Talkhttp://www.xombra.com/go_news.php?nota=472http://blogs.technet.com/b/pfelatam/archive/2011/07/17/configurar-autenticacion-kerberos-utilizando-nombre-virtual-cas.aspxhttp://www.ibm.com/developerworks/ssa/webservices/tutorials/ws-radsecurity3/index.htmlhttp://www.ibm.com/developerworks/ssa/websphere/techjournal/1105_pulito/http://msdn.microsoft.com/es-es/magazine/cc163454.aspxhttp://globalnewsroom.cisco.com/easyir/LA/es/local/press-release/Cisco-Trae-a-Mexico-Servicios-Web-de-Seguridad-en-la-Nube--818777.htmlhttp://es.wikipedia.org/wiki/Kerberoshttp://msdn.microsoft.com/es-es/library/yfe5dwc2(v=vs.80).aspxhttp://www.vidapixel.com/la-historia-de-skype/http://www.webadictos.com.mx/2011/07/28/skype-y-su-historia-infografia/http://es.wikipedia.org/wiki/Hotmailhttp://www.cad.com.mx/historia_de_hotmail.htmhttp://www.tecnologiapyme.com/servicios-web/llega-office-web-app-las-aplicaciones-en-la-nube-segun-microsofthttp://es.wikipedia.org/wiki/Office_Web_Apps

×