SóProvas


ID
195397
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Caso o líder constate que os membros da equipe têm nível insuficiente de conhecimento acerca de programação segura, será correto ele determinar como prática geral de segurança que se use assinatura digital em todos os códigos produzidos durante o desenvolvimento do sistema, especialmente nos applets e nas aplicações distribuídas que usam o modelo Java web start. Nessa situação, o uso de assinatura digital evitará que vulnerabilidades presentes no código produzido pela equipe sejam exploradas indevidamente quando o código for executado na plataforma do cliente.

Alternativas
Comentários
  • A assinatura digital tem como função a integridade, pois ao gerar a assinatura com uma função hash, qualquer modificação no código da aplicação assinada invalida o hash.
  • "Evitará que vulnerabilidades presentes no código produzido pela equipe sejam exploradas indevidamente".  Isto não tem nada haver com assinatura digital.

  • Viagem na maionese !!

  • Uma applet por padrão não pode, por exemplo, acessar recursos da máquina do usuário (o que é chamado de sandbox), logicamente por questões de segurança. O que permite a uma applet realizar este tipo de acesso e vários outros é justamente esta applet ser assinada digitalmente. Logo, se uma applet possuir alguma vulnerabilidade e for assinada digitalmente poderá ser utilizada para atacar a máquina do cliente final.

  • Se o sujeito estivesse preocupado com garantia de autoria do código...


  • Assinatura digital serve para verificar autenticidade e integridade dos dados e, por si só, não é capaz de evitar a exploração de vulnerabilidades presentes no código.

  • "Exploradas Indevidamente" se trata de confidencialidade. Assinatura Digital garante apenas integridade, autenticidade e indiretamente o não repúdio.