@MichaelT

Ein Interessanter Einblick, auch kommen mir einige Punkte bekannt vor.

Wir reden grad aneinander Vorbei, du bezieht sich die ganze Zeit auf den Transportweg und ich auf den Inhalt. Die WSS-Spezifikation beschreibt nicht nur wie der Transport zu erfolgen hat sondern auch die Anforderungen an den Inhalt. Die Validität und Authentizität der Nachricht ist auch nach den Empfang gegeben, Beispielsweise während einer internen Weiterleitung und nur der Leser hat Zugriff auf den Inhalt. Soweit ich weiß gibt es in REST so etwas nicht, da der Inhalt unabhängig ist, es ist wie soll ich sagen eine rein technische Schnittstelle.

Und welche Teile davon? Und wann ist das IRL (in Real Live) relevant?
Für Viele Anwendungsfälle ist das einfach überspezifiziert.

Was genau davon? Wenn ich ein Nachricht per https verschicke (und die Verschlüsselung/Sicheheit durch lokale Firewalls/Virenscanner kaputt gemacht wurde ist die Authentizität gegeben.
Jetzt wäre die Frage was du mit Validität genau meinst?

Jetzt mal konkret. Was soll hier wie kaputt gemacht werden/gefälscht werden.

Solange du keine Transportverschlüsselung aktiv hast kann jeder den Inhalt lesen

Ich denke das was du bisher angesprochen hast wird von (fast) keinen vermisst.

Es ist für alle Fälle relevant wo die Transportverschlüsselung nicht mehr ausreicht. Wurde diese ausgehebelt, vielleicht durch eine MITM-Attacke, dann sind die Daten weiterhin geschützt durch ihre eigene Verschlüsselung. Auch eine Mehrfachverschlüsselung kann in Frage kommen um sicherzugehen das alle Leser "anwesend" sind. In meinen konkreten Fall werden sensible personenbezogene Daten übermittelt.

Das die Nachricht unterwegs nicht verändert wurde.

Server (Empfänger) wurde kompromittiert, ist der Leser aber intakt kann die Sicherheit der Nachricht noch gewährleistet werden.

Natürlich sollte die Transportverschlüsselung aktiv sein, aber wenn nicht, dann kann eben nicht jeder den Inhalt lesen, weil der Inhalt verschlüsselt und ggf. noch signiert ist.

Für die meisten ist es egal, wenn die Sicherheit jedoch solche Forderungen stellt, sieht es anders aus.

Kann es sein das du im Medizinbereich unterwegs bist?
Evtl. noch das sehr "erfolgreiche" Projekt Gesundheitskarte?

Ja, wie auch im Gesundheitswesen und öffentliche Verwaltung im Allgemeinen. Deiner restlichen Aussage nachzuurteilen scheinst du wenig Vertrauen in diesen Bereich zu setzen, leider ohne Begründung. Als kleine Nebeninformation, die gesamte öffentliche Verwaltung setzt auf den OSCI-Standard, das macht im Prinzip das gleiche wie SOAP mit den WS-Stack. Warum nicht gleich SOAP verwendet wurde kann ich nicht sagen (evtl begann die Planung bevor der WS-Stack den heutigen Umfang hatte). Das Behördennetz ist für außenstehende nicht direkt erreichbar, für die Kommunikation über das öffentliche Netz stehen sogenannte Empfänger bereit, diese haben mit den eigentlichen Empfänger (den Leser) absolut nichts gemeinsam. Aus diesen Grund müssen fast immer die Inhaltsdaten separat verschlüsselt werden. Mit anderen Worten das perfekte Szenario für SOAP und weil es so gut passt, setzt die aktuelle neuentwicklung von OSCI vollständig auf SOAP. Unsere Nachbarn scheinen den nicht abgeneigt zu sein und das große Ziel ist die Kommunikation innerhalb der EU mit OSCI-2 zu vereinheitlichen. Das ist ein echter Fortschritt, wenn ich daran denke wie für die EU-weite Erfassung von Asylanten ein Webservice aus den frühen 90er zum Einsatz kommt (einfach nur XML über http, zur Doku gibt es eine xsd..).

Sagen wir so: Man hat so seine Erfahrung im Medizinbereich ...

Hättest du am Anfang mehr Infos geliefert, wäre es klar gewesen das in deinem Fall jegliche Diskussion sinnlos ist da hier von "anderer Stelle" alles vorgegeben ist und vermutlich eine Einflussnahme keine Chance hat. Evtl. hätten auch Mitforisten dir konkrete Tipps geben können, wenn sie gewusst hätten um welche konkrete Api es geht.

Ein Ähnliches "Spezifikations bis in Kleinste" gibt es sonst nur noch im Militär/Luftfahrtsbereich. Dort aber auch noch mit dem Problem das man Standards aus dem Papierzeitalter (als noch Dokumentation als "Schwerlastlieferung" in Papierform erfolgte auf im Digitalen Zeitalter unterstützen muss.
Ansonsten kann auch die "öffentliche Verwaltung" sagen wir mal "sehr herausfordernd" sein ...

@Bernhard
Ich war ja im Patentbereich tätig. Und ich muß zugeben zu Anfang habe ich mich gefragt was diese Definition bis in kleinste soll. Nach etwas Erfahrung mit der kreativen Schlampigkeit der Anwender - das sieht man doch - halte ich diesen Aufwand für durchaus gerechtfertigt.

Gruß
K-H