SóProvas


ID
195394
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Aplicações web embasadas em SOA são, geralmente, mais vulneráveis a ataques de origem intencional que aplicações web monolíticas; por isso, deve-se adotar no projeto em tela um modelo de desenvolvimento de aplicações com segurança. Para fazer frente a essa característica, deve-se usar a TLS (transport layer sockets), pois ela possibilita obter segurança fim a fim, inclusive em contexto de federação de web services.

Alternativas
Comentários
  • Bom, um dos erros nesta questão está no significado da sigla TLS = Transport Layer Security. A questão fez confusão com sua tecnologia predecessora, o SSL = Secure Sockets Layer.

     

    Não consegui achar algum outro erro, mas este já invalidaria a questão.

  • from TIMasters:
    Questão errada. No contexto de federação de web service usa-se WS-Security, que permite entre outras coisas:
    * Criptografar partes da mensagem SOAP separadamente (header / body)
    * Assinatura digital
    * Autenticação
    * Expirar mensagens

    Livro: Service-Oriented Architecture: Concepts, Technology, and Design[1] (Thomas Erl)

    Chapter 3. Introducing SOA

    3.5. Common pitfalls of adopting SOA

    3.5.6. Not understanding Web services security

    ...
    While SSL can address many immediate security concerns, *it is not the technology of choice for SOA*. When services begin to take on greater amounts of processing responsibility, the need for message-level security begins to arise. The *WS-Security* framework establishes an accepted security model supported by a family of specifications that end up infiltrating service-oriented application and enterprise architectures on many levels.
    ...

    by Daniel Menezes
  • "WS-Security simply provides security from end to end without worrying that every step of the way is secured appropriately as well; SSL only promises security between the endpoints of the SSL tunnel."

    http://cosine.org/2007/10/25/wss-vs-ssl/