Considere as seguintes afirmativas sobre segurança em aplica...
I. Utilizar credenciais do banco de dados com permissão de somente-leitura evita ataques de injeção de SQL (SQL injection).
II. A utilização de certificados digitais pelos usuários (como o e-CPF) pode dispensar a necessidade de autenticação por meio de nome de usuário e senha.
III. Entrar suas credenciais apenas em sites com conexão segura (HTTPS) evita o comprometimento de senhas por registro de teclado (keyloggers).
Assinale a alternativa CORRETA.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão e compreender por que a alternativa correta é a B - Somente a afirmativa II está correta.
Afirmativa I: Utilizar credenciais do banco de dados com permissão de somente-leitura evita ataques de injeção de SQL (SQL injection).
Embora utilizar credenciais com permissões restritas possa minimizar o impacto de um ataque de injeção SQL, isso não evita o ataque. A prevenção de SQL injection deve ser feita através de práticas seguras de codificação, como o uso de prepared statements e parameterized queries. Portanto, essa afirmativa está incorreta.
Afirmativa II: A utilização de certificados digitais pelos usuários (como o e-CPF) pode dispensar a necessidade de autenticação por meio de nome de usuário e senha.
Essa afirmativa está correta. Certificados digitais, como o e-CPF, possuem um alto nível de segurança e são usados para autenticação robusta. Quando um usuário utiliza um certificado digital, ele não necessariamente precisa de uma combinação de nome de usuário e senha, pois a autenticação é feita através do certificado.
Afirmativa III: Entrar suas credenciais apenas em sites com conexão segura (HTTPS) evita o comprometimento de senhas por registro de teclado (keyloggers).
Essa afirmativa está incorreta. Embora o uso de HTTPS proteja a transmissão de dados contra interceptação, ele não impede o uso de keyloggers que capturam as teclas digitadas diretamente no dispositivo do usuário. Keyloggers são softwares maliciosos que precisam ser tratados com soluções de segurança no dispositivo, como antivírus e anti-malware.
Em resumo, a alternativa correta é a B porque a afirmativa II é a única plenamente correta. As afirmativas I e III contêm informações que, apesar de parcialmente verdadeiras, não são completamente precisas no contexto de suas declarações.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
- I SQL injection mexe com consultas dinâmicas. Embora mexer nas credenciais ajude, ela não é a única solução para, como disse o comando da questão, "evitar ataques de sql injection". Eliminamos as letras A e C;
- II Certificados, como o e-cpf, geralmente pedem a senha somente. Logo, não precisa das duas: "usuário e senha". Correta. Eliminamos a letra E.
- III Uma coisa não tem nada a ver com a outra. O HTTPs protege o meio. Se olharmos para o OSI o "S" do HTTP usa o SSL/TLS ambos presentes na camada 6. A tela do usuário pega a aplicação (camada 7). O keylogger captura o que eu estou digitando, não a parte do transporte dos dados. Eliminamos a letra D
Obs.: Para saber como proteger de ataques de Sql injection, veja o link a seguir: https://imasters.com.br/banco-de-dados/sql-server-como-evitar-sql-injection
Gabarito B
>>Em frente e enfrente>>
II. A utilização de certificados digitais pelos usuários (como o e-CPF) pode dispensar a necessidade de autenticação por meio de nome de usuário e senha
Pode dispensar, mas não torna a aplicação segura, vide ataques recentes em que foram emitidos certificados falsos sob o nome de juízes do trabalho.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos