SóProvas


ID
72142
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Durante uma reunião de projeto, um analista levantou novos requisitos para um sistema de vendas pela Web, que estava em produção, apresentados a seguir.

. As senhas dos usuários do site devem ser armazenadas criptografadas no banco de dados e, caso haja esquecimento da senha, o usuário deve solicitar o envio da mesma, descriptografada, para o seu e-mail, após confirmar informações pessoais.

. O servidor IIS (versão 6.0), no qual a aplicação está instalada, está ficando sem memória em função do grande número de acessos a um determinado aplicativo, afetando outros aplicativos.

.Os catálogos de produtos são feitos por uma empresa de design que envia, por e-mail, para o administrador do sistema, arquivos contendo fotos e descrições dos produtos que estão à venda no site, mas o nível de segurança desse processo deve ser aumentado por meio da utilização de um mecanismo que permita garantir que os arquivos recebidos pelo administrador sejam mesmo criados pela empresa de design. O analista propôs as iniciativas a seguir, atendendo a mesma ordem dos requisitos.

I - Utilizar uma função HASH para criptografar as senhas antes de salvá-las no banco de dados, sendo que, para recuperar a senha, será utilizado um algoritmo RSA que a descriptografe antes de ela ser enviada para o usuário.

II - Definir um número máximo de solicitações de kernel para o aplicativo, por meio do Gerenciador do IIS, de forma a impedir que um grande número de solicitações seja colocado em fila e sobrecarregue o servidor.

III - Deve ser utilizado um mecanismo de assinatura digital no qual a empresa de design assina digitalmente os arquivos gerados, utilizando uma chave privada, cabendo ao administrador do sistema, por meio de uma chave pública, verificar a autenticidade da assinatura.

Está(ão) correta(s) a(s) iniciativa(s)

Alternativas
Comentários
  • I- Errada: função hash não se descriptografa, é um "caminho sem volta".II- Certa: solução possível mas paliativa.III- Certa
  • i) False. Função HASH cria um resumo único do texto (Message Digest) que não permite chegar ao texto a partir do resumo. Unidirecional. Deveria ter sugerido um sistema criptográfico simétrico, em que a chave estaria na aplicação, assim atenderia os requisitos.ii) True. Apesar de ser uma solução meia boca (pois vai causa recusa de serviço quanto chegar no limite máximo), a questão pede as iniciativas que ATENDEM AOS REQUISITOS. O requisito deste item é deixar de atingir outros aplicativos por falta de memória.iii) True. Pefeito.
  • I - Errada, pois o Hash não é uma função que tenha função inversa.II - Certa.III - Certa, e se A assina com sua chave privada somente quem tem sua chave pública poderá decifrar e assim garantir a autenticidade. O costumeiro é ver A enviando mensagem para B e cifrando com a chave pública de B para que apenas B com sua chave privada decifre. Quando A assina com sua chave privada e envia para B, B sabe que se conseguiu decifrar a mensagem cifrada com uma chave privada é porque apenas o dono desta pode ter feito tal cifragem e assim garante a autenticidade.
  • II e IIIporém acho que esta segunda é um pouco confusa quando fala de solicitações de kernel... talvez a intenção foi essa, deixar a proposição confusa.