Com relação às melhores práticas de programação segura da O...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é a opção D: "Deve-se utilizar obrigatoriamente a autenticação para todas as páginas e recursos, exceto para aqueles que são intencionalmente públicos."
Vamos agora entender por que essa é a alternativa correta e por que as outras não são.
D - Autenticação obrigatória: A prática de segurança da OWASP recomenda que a autenticação seja utilizada para proteger todas as páginas e recursos que não são destinados ao público, garantindo que apenas usuários autorizados tenham acesso. Isso ajuda a prevenir acessos não autorizados e protege dados sensíveis. Somente conteúdos que são realmente públicos devem ficar desprotegidos.
A - Requisições GET e credenciais: Utilizar requisições GET para transmitir credenciais de autenticação é uma prática insegura. As requisições GET expõem os dados na URL, o que pode ser facilmente capturado por atacantes. O correto é usar requisições POST, que mantêm as credenciais no corpo da solicitação, longe da URL.
B - Gerenciamento de conta e SQL Injection: A afirmação sugere que usar apenas o mecanismo padrão de gerenciamento de conta elimina ataques de SQL Injection, o que é incorreto. SQL Injection é prevenido através da validação e saneamento adequado de entradas, além do uso de consultas parametrizadas, não apenas pela escolha de um mecanismo de conta.
C - Garbage Collector: O uso do "garbage collector" é uma prática de gerenciamento de memória automática, mas a liberação explícita de recursos alocados para objetos de conexão é frequentemente necessária para evitar vazamentos de recursos e problemas de desempenho. Essa opção está mais associada à eficiência e gerenciamento de recursos do que à segurança direta.
E - SSL e TLS: A afirmação está incorreta pois inverte os papéis do SSL e do TLS. O SSL é o antecessor do TLS, e o uso do TLS é recomendado, uma vez que é mais seguro e atualizado em comparação ao SSL. Portanto, deve-se evitar o uso do SSL e preferir o TLS.
Espero que a explicação tenha ajudado a esclarecer a questão! Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A) Devem-se utilizar apenas requisições GET para transmitir credenciais de autenticação. [ERRADO]
Comentário: O correto é "Utilizar apenas requisições POST para transmitir credenciais de autenticação"
B) Deve-se utilizar somente o mecanismo padrão de gerenciamento de conta para operações sensíveis do lado servidor, assim inibindo ataques com SQL Injection. [ERRADO]
Comentário: O correto é "Utilizar mecanismos complementares ao mecanismo padrão de gerenciamento de sessões para operações sensíveis do lado servidor – como no caso de operações de gerenciamento de contas – ...Esse método pode ser usado para prevenir ataques do tipo Cross Site Request Forgery (CSRF)
C) Deve-se utilizar o "garbage collector” na liberação de recursos alocados para objetos de conexão e não realizar essa tarefa explicitamente. [ERRADO]
Comentário: O correto é "Na liberação de recursos alocados para objetos de conexão, identificadores de arquivo etc., não contar com o “garbage collector” e realizar a tarefa explicitamente
D) Deve-se utilizar obrigatoriamente a autenticação para todas as páginas e recursos, exceto para aqueles que são intencionalmente públicos. [CORRETO]
Comentário: Essa afirmação está na seção "Autenticação e Gerenciamento de Credenciais" do OWASP.
E) Deve-se utilizar um padrão único de implementação Secure Sockets Layer (SSL), configurado de modo apropriado, e evitar o uso do seu antecessor, o Transport Layer Security (TLS). [ERRADO]
Comentário: O correto é "Utilizar um padrão único de implementação TLS configurado de modo apropriado", além disso o TLS não é antecessor do SSL, mas sim o SSL é antecessor do TLS.
Fonte: https://owasp.org/www-pdf-archive/OWASP_SCP_v1.3_pt-BR.pdf
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo