SóProvas

ID
2519461
Banca
FCC
Órgão
TRE-PR
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Considere os cuidados abaixo.


I. Não aceite novos identificadores de sessão pré-configurados ou inválidos na URL ou em requisições. Isto é chamado de ataque de sessão fixada. Use somente mecanismos padrão para gerência de sessão. Não escreva ou use gerenciadores secundários de sessão em qualquer situação.

II. Mantenha no código os cookies personalizados com propósito de autenticação de gerência de sessão, como funções ‘lembrar do meu usuário’.

III. Use períodos de expiração de prazo que automaticamente geram logout em sessões inativas, bem como o conteúdo das informações que estão sendo protegidas.

IV. Assegure-se que todas as páginas tenham um link de logout. O logout não deve destruir as sessões nem cookies de sessão.

V. Use somente funções de proteção secundárias eficientes (perguntas e respostas, reset de senha), pois estas credenciais são como senhas, nomes de usuários e tokens. Aplique one-way hash nas respostas para prevenir ataques nos quais a informação pode ser descoberta.


São cuidados que corretamente evitam problemas de quebra de autenticação e gerenciamento de sessão em aplicações web, o que se afirma APENAS em

Alternativas
Comentários

  • e)

    I, III e V. 

  • Considerações sobre as erradas:

    II - e os cookies forem mantidos no código, o cliente pode ser comprometido mediante escuta (sniffing) da transmissão. Se o atacante roubar os dados do cookie, será possível realizar ataques de sequestro de sessão (session hijacking).

    IV - o logout serve justamente para matar a sessão. Caso não o faça, não terá motivo para existir, ou foi implementado de forma errada.

  • como guardar senhas

    http://blog.caelum.com.br/guardando-senhas-criptografadas-em-java/

  • Letra E

    Prevenir falhas de autenticação requer um planejamento cuidadoso. Algumas das considerações importantes são:

    1. Use somente mecanismos padrão para gerência de sessão. Não escreva ou use gerenciadores secundários de sessão em qualquer situação.

    2. Não aceite novos identificadores de sessão, pré-configurados ou inválidos na URL ou em requisições. Isto é chamado de ataque de sessão fixada.

    3. Limite ou limpe seu código de cookies personalizados com propósito de autenticação de gerência de sessão, como funções 'lembrar do meu usuário' ou funções domésticas de autenticação centralizadas como o Single Sign-On (SSO). Isto não se aplica às soluções de autenticação fe­ deradas robustas ou 550 reconhecidas."

    4. Use um mecanismo único de autenticação com dimensão e número de fatores apropriados.Certifique-se de que este mecanismo não estará facilmente sujeito a ataques ou fraudes. Não faça esse mecanismo compli­cado demais, pois ele pode se tornar alvo de seu próprio ataque.

    5. Não permita que o processo de login comece de uma página não encriptada. Sempre inicie o processo de login de uma segunda página encriptada ou de um novo código de sessão para prevenir o roubo de credenciais ou da sessão, phishing e ataques de fixação de sessão.

    6. Considere gerar uma nova sessão após uma autenticação que obteve sucesso ou mudança do nível de privilégio.

    7. Assegure-se de que todas as páginas tenham um link de logout. O logout deve destruir todas as sessões e cookies de sessão. Considere os fatores humanos: não pergunte por confirmação, pois usuários acabarão fechando a aba ou janela em vez de sair com sucesso.

    8. Use períodos de expiração de prazo que automaticamente dão logout em sessões inativas, bem como o conteúdo das informações que estão sendo protegidas.

    9. Use somente funções de proteção secundárias eficientes (perguntas e respostas, reset de senha), pois estas credenciais são como senhas, nomes de usuários e tokens. Aplique one-way hash nas respostas para prevenir ataques nos quais a informação pode ser descoberta.

    ...

    SANTOS Alfredo. Quem mexeu no meu sistema?: Segurança em sistemas da informação. Rio de Janeiro: Brasporte, 2008