Com relação às melhores práticas de programação segura da O...

Próximas questões
Com base no mesmo assunto
Q1002619 Programação
Com relação às melhores práticas de programação segura da OWASP (2012), assinale a opção correta.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é a opção D: "Deve-se utilizar obrigatoriamente a autenticação para todas as páginas e recursos, exceto para aqueles que são intencionalmente públicos."

Vamos agora entender por que essa é a alternativa correta e por que as outras não são.

D - Autenticação obrigatória: A prática de segurança da OWASP recomenda que a autenticação seja utilizada para proteger todas as páginas e recursos que não são destinados ao público, garantindo que apenas usuários autorizados tenham acesso. Isso ajuda a prevenir acessos não autorizados e protege dados sensíveis. Somente conteúdos que são realmente públicos devem ficar desprotegidos.

A - Requisições GET e credenciais: Utilizar requisições GET para transmitir credenciais de autenticação é uma prática insegura. As requisições GET expõem os dados na URL, o que pode ser facilmente capturado por atacantes. O correto é usar requisições POST, que mantêm as credenciais no corpo da solicitação, longe da URL.

B - Gerenciamento de conta e SQL Injection: A afirmação sugere que usar apenas o mecanismo padrão de gerenciamento de conta elimina ataques de SQL Injection, o que é incorreto. SQL Injection é prevenido através da validação e saneamento adequado de entradas, além do uso de consultas parametrizadas, não apenas pela escolha de um mecanismo de conta.

C - Garbage Collector: O uso do "garbage collector" é uma prática de gerenciamento de memória automática, mas a liberação explícita de recursos alocados para objetos de conexão é frequentemente necessária para evitar vazamentos de recursos e problemas de desempenho. Essa opção está mais associada à eficiência e gerenciamento de recursos do que à segurança direta.

E - SSL e TLS: A afirmação está incorreta pois inverte os papéis do SSL e do TLS. O SSL é o antecessor do TLS, e o uso do TLS é recomendado, uma vez que é mais seguro e atualizado em comparação ao SSL. Portanto, deve-se evitar o uso do SSL e preferir o TLS.

Espero que a explicação tenha ajudado a esclarecer a questão! Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A) Devem-se utilizar apenas requisições GET para transmitir credenciais de autenticação. [ERRADO]

Comentário: O correto é "Utilizar apenas requisições POST para transmitir credenciais de autenticação"

B) Deve-se utilizar somente o mecanismo padrão de gerenciamento de conta para operações sensíveis do lado servidor, assim inibindo ataques com SQL Injection. [ERRADO]

Comentário: O correto é "Utilizar mecanismos complementares ao mecanismo padrão de gerenciamento de sessões para operações sensíveis do lado servidor – como no caso de operações de gerenciamento de contas – ...Esse método pode ser usado para prevenir ataques do tipo Cross Site Request Forgery (CSRF)

C) Deve-se utilizar o "garbage collector” na liberação de recursos alocados para objetos de conexão e não realizar essa tarefa explicitamente. [ERRADO]

Comentário: O correto é "Na liberação de recursos alocados para objetos de conexão, identificadores de arquivo etc., não contar com o “garbage collector” e realizar a tarefa explicitamente

D) Deve-se utilizar obrigatoriamente a autenticação para todas as páginas e recursos, exceto para aqueles que são intencionalmente públicos. [CORRETO]

Comentário: Essa afirmação está na seção "Autenticação e Gerenciamento de Credenciais" do OWASP.

E) Deve-se utilizar um padrão único de implementação Secure Sockets Layer (SSL), configurado de modo apropriado, e evitar o uso do seu antecessor, o Transport Layer Security (TLS). [ERRADO]

Comentário: O correto é "Utilizar um padrão único de implementação TLS configurado de modo apropriado", além disso o TLS não é antecessor do SSL, mas sim o SSL é antecessor do TLS.

Fonte: https://owasp.org/www-pdf-archive/OWASP_SCP_v1.3_pt-BR.pdf

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo