Questões de Concurso

O analista Kléber desenvolveu o web service JusRest, que é protegido por autenticação OAuth2 através do client JusClient, registrado no servidor Keycloak do TJRN. Sendo o JusRest um web service, o administrador do Keycloak desabilitou os fluxos de autenticação OAuth2 para o JusClient. Dessa forma, para consumir o JusRest, o usuário deve fornecer um token já emitido. Para simplificar a integração com o Keycloak, Kléber utilizou no JusRest um adaptador de client do Keycloak. A fim de refletir a configuração do JusClient, Kléber ativou no adaptador a opção que desabilita a tentativa de autenticação do usuário, esperando que seja fornecido um token preexistente.
Logo, Kléber ativou no adaptador Keycloak do JusRest a opção: 

O desenvolvedor Jacó está implementando a aplicação AppJus. A autenticação dos usuários na AppJus utiliza o protocolo OpenID Connect. A fim de constatar o recebimento do ID Token, Jacó criou na AppJus a tela DbgAuth, onde devem ser exibidos o identificador único atribuído pelo provedor de OpenID ao usuário autenticado e a data-hora de emissão do ID Token.
Sendo assim, para exibir a DbgAuth, Jacó deve extrair do ID Token os valores dos atributos:

A quebra de controle de acesso é um dos principais riscos de segurança nas aplicações web.

Para prevenir-se desta vulnerabilidade, segundo o OWASP, é recomendado 

Segundo a norma ISO 27001:2005, os três pilares da segurança da informação são:

Os mecanismos de segurança são os meios através dos quais garante-se que uma determinada política está sendo cumprida e usa-se essas ferramentas para implementar uma política de segurança. Esses podem ser procedimentos físicos como também implementados em hardware ou software. Qual opção abaixo NÃO pode ser considerada um mecanismo de segurança?