Questão nº 78
Questão de Tecnologia da Informação · FGV DNIT 2024 (nº 78)
Com relação ao protocolo OAuth e segurança de código, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).
( ) A parte de “auth” da “OAuth” se refere a autorização, não a autenticação.
( ) Dentre as práticas recomendadas para criar um aplicativo OAuth, podem ser citadas: usar escopos mínimos, criptografar os tokens de acesso do usuário e proteger as credenciais do aplicativo.
( ) Dentre os riscos de segurança mais comuns associados às Application Programming Interfaces (APIs, ou Interfaces de Programação de Aplicação) listados no API Security Top 10 da Open Worldwide Application Security Project (OWASP) consta como vulnerabilidade a implementação incorreta de mecanismos de autenticação, que é responsável pela exposição do fluxo de negócios por comprometer o sistema de identificar dos equipamentos de origem do incidente de segurança.
As afirmativas são, respectivamente,
- AF – V – F.
- BF – V – V.
- CV – F – F.
- DF – F – V.
- EV – V – F. (alternativa correta)
Resposta comentada
Gabarito Alternativa E
OAuth (Open Authorization) é um protocolo que permite a um aplicativo de terceiros acessar recursos de um usuário em outro serviço (como Google, Facebook) sem que o usuário precise compartilhar suas credenciais de login com o aplicativo. Ele foca na autorização de acesso a dados específicos, não na autenticação do usuário em si.
- (A) Incorreta: A primeira afirmativa está correta (V), não falsa.
- (B) Incorreta: A terceira afirmativa está falsa (F), não verdadeira.
- (C) Incorreta: A segunda afirmativa está correta (V), não falsa.
- (D) Incorreta: A primeira afirmativa está correta (V), não falsa.
- (E) Correta: A primeira afirmativa é verdadeira (V) porque OAuth significa Open Authorization e seu foco é a delegação de autorização, não a autenticação. A segunda afirmativa é verdadeira (V), pois usar escopos mínimos (princípio do menor privilégio), criptografar tokens de acesso (proteção de dados sensíveis) e proteger as credenciais do aplicativo (segurança da identidade do cliente) são práticas essenciais de segurança para aplicativos OAuth. A terceira afirmativa é falsa (F) porque, embora "Broken Authentication" (implementação incorreta de mecanismos de autenticação) seja de fato uma vulnerabilidade comum no OWASP API Security Top 10, a descrição de seu impacto como "comprometer o sistema de identificar dos equipamentos de origem do incidente de segurança" é imprecisa e confusa. A vulnerabilidade de autenticação quebrada permite o acesso não autorizado a contas ou funcionalidades, não o comprometimento de um sistema de identificação de equipamentos de origem. A armadilha da banca reside em combinar uma informação correta (vulnerabilidade de autenticação) com uma descrição de impacto incorreta e desviante.
Fonte: FGV DNIT 2024 Analista Administrativo - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.