SóProvas

ID
2624356
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Banco de Dados
Assuntos

O item a seguir apresenta uma situação hipotética seguida de uma assertiva a ser julgada a respeito de identificação de vulnerabilidades por inspeção de código.


A arquitetura dos sistemas de uma organização utiliza uma mesma base de dados, ou seja, todos os sistemas acessam e gravam no mesmo banco de dados. Nessa arquitetura, todos os dados de acesso, como login e senha, estão armazenados em um arquivo .txt de configuração padrão no repositório central. Nessa situação, visando diminuir a fragilidade da arquitetura, é indicado que todos os sistemas tenham um dataSource específico de acesso aos seus dados.


Alternativas
Comentários

  • Datasource é um nome dado à configuração de conexão para um banco de dados de um servidor. O nome é normalmente utilizado quando cria-se uma consulta para o banco de dados. O DSN (Datasource Name) não tem que ser o mesmo que o nome do arquivo para o banco de dados. Por exemplo, um arquivo de banco de dados chamado "amigos.mdb" poderia ser definido com um DSN de "escola". O DSN "escola" seria então utilizado para referir-se ao banco de dados quando realizasse uma consulta.

    FONTE: https://pt.wikipedia.org/wiki/Datasource

     

  • Esta questão está errada pois a recomendação é que a autenticação em plaintext seja substituída por salt hash.
    Mesmo que separe os datasources a vulnerabilidade continuaria.
    Seria mais seguro centralizar com arquitetura Oauth armazenado em salt hash.
    https://cwe.mitre.org/data/definitions/256.html

     

     Potential Mitigations

    Phase: Architecture and Design

    Avoid storing passwords in easily accessible locations.

    Phase: Architecture and Design

    Consider storing cryptographic hashes of passwords as an alternative to storing in plaintext.

    A programmer might attempt to remedy the password management problem by obscuring the password with an encoding function, such as base 64 encoding, but this effort does not adequately protect the password because the encoding can be detected and decoded easily.

    Effectiveness: None

  • No gabarito oficial consta como ERRADA!

     

     

  • Datasource é quem guarda as configurações e demais informaçãoes necessárias para sua conexão. Não adianta guardar o carro na garagem, se esta não tiver portão/grade ou outros equipamentos para manter seu carro seguro.