Qualcuno potrà dire: che pignolo! Ma il mio maestro Paolo è un esperto in WebService (va bene così o devo dire guru :-D) e di queste cose me ne parla tutti i giorni.
Quando si parla di WebService e di sicurezza subito si pensa ad SSL, ed è sbagliato. Un servizio non è per forza legato al protocollo sul quale viaggia. I WS sono stati pensati per viaggiare tramite TCP/IP, HTTP, POP3 ecc. Inoltre non basta criptografare il contenuto per essere certi di un messaggio. E' buona cosa sapere se proviene dal mittente che non ci aspettiamo.
A tale scopo quindi, quelli della W3C stanno lavorando ad un insieme di standard detto WS-A volto a regolamentare l'uso dei web services a livello di sicurezza, criptografia, autenticazione, policy, addressing, ecc. In parte usano specifiche che già esistono, come XML Signature, in altre usano i SoapHeader per aggiungere informazioni al messaggio senza intervenire sul body del messaggio (tranne nel caso della criptografia).
Esiste un'implementazione di Microsoft in continua evoluzione di nome WSE (Web Services Enhancements), provatela, è fatta molto bene.
Con questo non voglio dire che l'uso di SSL sia sbagliato, anzi, il problema delle performance non si aggira. La criptografia ha purtroppo un costo...