SóProvas


ID
4849969
Banca
CESPE / CEBRASPE
Órgão
Ministério da Economia
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, a respeito de testes de invasão (pentest) em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.


Para evitar a comunicação insegura com uma aplicação web, alguns pontos devem ser observados, como a não utilização de protocolos de segurança criados por usuários particulares e a configuração do servidor para aceitar apenas suítes criptográficas fortes.

Alternativas
Comentários
  • Não é porque tem "Apenas" na pergunta que a questão está errada !!

    #força guerreiro !!

  • Gabarito: Certo.

    Na busca para evitar uma comunicação insegura com uma aplicação web podemos ter várias pontos a serem observados e a questão trouxe duas atitudes que ajudariam nessa busca, como: aceitar apenas criptografias fortes e não utilizar protocolos de segurança criados por usuários particulares.

  • GABARITO: CERTO.

  • "não utilização de protocolos de segurança criados por usuários particulares" Penso que a questão ficou um pouco vaga, pois os protocolos de segurança criados por usuários particulares poderiam ser protocolos confiáveis. Enfim.

  • Mateus, a pergunta q não quer calar....se vc preza por segurança e acessa e faz transação bancária no seu computador, vc confiaria em um protocolo desenvolvido por um "script kid pun********iro cara de apito" de 13 anos?

    Infelizmente, procurei e não achei fonte q justifique a questao. Porém, usando o bom senso, acerta-se a questao sem mimimi!!!

  • Só eu que achei essa redação confusa?

  • O que seria um usuário particular??? Não seria melhor ter se referido como usuário público ???

  • Segundo a Cespe utilizar algoritmos de estado seria uma violação de segurança?
  • MATERIAL BOMBADO DE SEGURANÇA DA INFORMAÇÃO

    https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

  • Eu já vi alguns professores darem uns bizus, que para quem estudou e não lembra ou de fato não estudou, procure ver se a questão faz sentido, como no caso acima.

    Claro que é apenas uma ideia e deve ser levado em consideração o momento em que cada candidato se encontre.

    "Nenhum de nós é tão bom quanto todos nós juntos."

  • Ex: HTTP: site inseguro, sem criptografia. HTTPs: seguro e com criptografia.

    Observar esses protocolos ao acessar um site ou domínio web.

  • Complementando...

    CRIPTOGRAFIA

    ➥ É uma área da criptologia que estuda a prática, princípios e técnicas para comunicação segura na presença de terceiros, chamados "adversários". Mas geralmente, a criptografia refere-se à construção e análise de protocolos que impedem terceiros, ou o público, de lerem mensagens privadas.

    ➥ Em outras palavras, trata-se de um conjunto de regras que visa codificar a informação de forma que o emissor e o receptor consiga decifrá-la.

    [...]

    Chave Simétrica

    • Uma única chave privada.

    ________

    Chave ASSimétrica

    • Duas chaves, sendo uma privada e outra pública.

    [...]

    BIZU!

    ► Chave Simétrica (1chave) entre os pares de comunicação

    • ex: AES, BLOWFISH, RC4, 3DES, IDEA

    -

    ► Chave ASSimétrica (2chaves, uma pública e outra privada

    • ex: RSA, DSA, ECC, DIFFIE-HELLMAN

    [...]

    ☛ QUESTÃO PRA FIXAR!

    Na utilização de uma criptografia de chave assimétrica, utiliza-se duas chaves para realizar a criptografia, sendo uma privada e outra pública.

    [...]

    Logo, Gabarito: Certo.

    ____________

    Fontes: Wikipédia; Oficina da Net; Questões da CESPE; Colegas do QC.

  • Não é possível que caia desse nível na PF...

  • Conforme a contextualização da questão, "protocolos de segurança" podem muito bem ser compreendidos como "procedimentos de segurança", o que tornaria a assertiva errada. Enfim.... vida que segue.

  • "protocolos de segurança criados por usuários particulares"

    Então os protocolos de segurança que usamos são criados por quem? Existe alguma entidade pública mundial que cria os protocolos? Alguem poderia me apresentar tal entidade?

  • Incrível como algumas questões têm o condão de anular horas, dias, meses de estudos num assunto numa fração de segundos entre o certo e errado.

    Não desistam, eu to quase, mas não irei.

  • Questão complicada, mas é o que está na cartilha de segurança
  • Não sabia a resposta, mas aqui vai o aprendizado:

    EVITAR COMUNICAÇÃO INSEGURA EM WEB

    • aceitar apenas criptografias fortes
    • não aceitar protocolos de segurança criados por usuários particulares
  • Essa questão fere nossos amigos particulares da área de TI

    "não utilização de protocolos de segurança criados por usuários particulares"

    PERDOEM A CESPE MEUS AMIGOS, ELA NÃO SABE O QUE FALA

  • Linhade raciocínio: Protocolos de segurança não certificados, feitos no fundo de quintal, não transparecem segurança. Ao invés de um protocolo "certificado" ou "amplamente usado". fui por aí e acertei

  • Assertiva correta, devemos evitar o uso de aplicativos de segurança criados por terceiros, pois muitas das vezes não sabemos como funciona.

    Resposta: Certo

  • redação confusa de mais.

  • Gabarito: Certo.

    É evidente que deve-se evitar a utilização de protocolos de segurança criados por usuários particulares e dar preferência a protocolos de segurança amplamente utilizados, testados e desenvolvidos por comunidades e consórcios de diversas organizações e empresas. O motivo é simples: um protocolo desenvolvido por usuários particulares carece de análise técnica ampla, carece de análise de desempenho, carece de suporte, dentre diversos outros fatores. Já protocolos de maior escala suprem essas características.

    Já a questão da "configuração do servidor para aceitar apenas suítes criptográficas fortes" também é importante. É comum que com o passar do tempo e o aumento do poder computacional diversos algoritmos criptográficos outrora considerados fortes não mais o sejam. Por isso, é importante que os administradores de sistema periodicamente atualizem a lista de algoritmos criptográficos aceitos pelos servidores, que formam a chamada suíte criptográfica, para aceitar apenas algoritmos de criptografia considerados fortes de acordo com as últimas divulgações na área.

    Portanto, como as duas afirmações estão corretas, a afirmativa está certa.

    Fonte: tecconcursos