Aplicações web embasadas em SOA são, geralmente, mais vulner...

Próximas questões
Com base no mesmo assunto
Q65129
Arquitetura de Software SOA (Service-oriented architecture) , WebServices ,
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU Prova: CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II |
Q65129 Arquitetura de Software
Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition) v.6, envolvendo servlets, JSP (Java server
pages), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Aplicações web embasadas em SOA são, geralmente, mais vulneráveis a ataques de origem intencional que aplicações web monolíticas; por isso, deve-se adotar no projeto em tela um modelo de desenvolvimento de aplicações com segurança. Para fazer frente a essa característica, deve-se usar a TLS (transport layer sockets), pois ela possibilita obter segurança fim a fim, inclusive em contexto de federação de web services.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta para a questão é: Errado (E).

Vamos entender o porquê.

O enunciado da questão aborda a implementação de um sistema baseado em SOA (Service-Oriented Architecture) e menciona a preocupação com a segurança das aplicações web. A SOA é uma arquitetura que permite a integração de serviços distribuídos em diferentes sistemas, o que pode aumentar a complexidade e os pontos de vulnerabilidade da aplicação. Portanto, a segurança é um aspecto crucial.

TLS (Transport Layer Security) é uma tecnologia amplamente utilizada para garantir a segurança das comunicações na internet. Ela oferece criptografia de ponta a ponta e é essencial para proteger dados transmitidos entre clientes e servidores. No entanto, a questão afirma que a TLS oferece segurança fim a fim "inclusive em contexto de federação de web services". Isso é impreciso.

Embora a TLS forneça uma camada de segurança entre dois pontos de comunicação (tipicamente um cliente e um servidor), ela não resolve todos os aspectos de segurança necessários para uma arquitetura web baseada em SOA. Em um contexto de federação de web services, onde múltiplos serviços de diferentes dominios podem interagir, você precisa de soluções adicionais para autenticação, autorização e integridade dos dados entre os serviços.

Portanto, a afirmativa está errada porque implica que a TLS, sozinha, pode lidar com todos os aspectos de segurança necessários em uma arquitetura federada de web services. Na prática, é necessário um conjunto mais abrangente de práticas e tecnologias para garantir a segurança em sistemas SOA complexos. Exemplos incluem:

  • Uso de OAuth para autenticação e autorização entre serviços.
  • Implementação de WS-Security para segurança em mensagens SOAP.
  • Monitoramento e auditoria de acessos e interações entre serviços.

Assim, é essencial adotar um modelo de desenvolvimento seguro que vá além do uso de TLS, incluindo múltiplos mecanismos de proteção e boas práticas de segurança.

Espero que essa explicação tenha esclarecido suas dúvidas sobre a questão e a importância de uma abordagem abrangente de segurança em sistemas baseados em SOA. Caso tenha mais perguntas, estarei à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Bom, um dos erros nesta questão está no significado da sigla TLS = Transport Layer Security. A questão fez confusão com sua tecnologia predecessora, o SSL = Secure Sockets Layer.

 

Não consegui achar algum outro erro, mas este já invalidaria a questão.

from TIMasters:
Questão errada. No contexto de federação de web service usa-se WS-Security, que permite entre outras coisas:
* Criptografar partes da mensagem SOAP separadamente (header / body)
* Assinatura digital
* Autenticação
* Expirar mensagens

Livro: Service-Oriented Architecture: Concepts, Technology, and Design[1] (Thomas Erl)

Chapter 3. Introducing SOA

3.5. Common pitfalls of adopting SOA

3.5.6. Not understanding Web services security

...
While SSL can address many immediate security concerns, *it is not the technology of choice for SOA*. When services begin to take on greater amounts of processing responsibility, the need for message-level security begins to arise. The *WS-Security* framework establishes an accepted security model supported by a family of specifications that end up infiltrating service-oriented application and enterprise architectures on many levels.
...

by Daniel Menezes
"WS-Security simply provides security from end to end without worrying that every step of the way is secured appropriately as well; SSL only promises security between the endpoints of the SSL tunnel."

http://cosine.org/2007/10/25/wss-vs-ssl/

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas