Questão nº 78

Questão de Tecnologia da Informação · FGV DNIT 2024 (nº 78)

FGV2024Analista Administrativo - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Ever comentário ↓

Com relação ao protocolo OAuth e segurança de código, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) A parte de “auth” da “OAuth” se refere a autorização, não a autenticação.

( ) Dentre as práticas recomendadas para criar um aplicativo OAuth, podem ser citadas: usar escopos mínimos, criptografar os tokens de acesso do usuário e proteger as credenciais do aplicativo.

( ) Dentre os riscos de segurança mais comuns associados às Application Programming Interfaces (APIs, ou Interfaces de Programação de Aplicação) listados no API Security Top 10 da Open Worldwide Application Security Project (OWASP) consta como vulnerabilidade a implementação incorreta de mecanismos de autenticação, que é responsável pela exposição do fluxo de negócios por comprometer o sistema de identificar dos equipamentos de origem do incidente de segurança.

As afirmativas são, respectivamente,

Resposta comentada

Gabarito Alternativa E

OAuth (Open Authorization) é um protocolo que permite a um aplicativo de terceiros acessar recursos de um usuário em outro serviço (como Google, Facebook) sem que o usuário precise compartilhar suas credenciais de login com o aplicativo. Ele foca na autorização de acesso a dados específicos, não na autenticação do usuário em si.

  • (A) Incorreta: A primeira afirmativa está correta (V), não falsa.
  • (B) Incorreta: A terceira afirmativa está falsa (F), não verdadeira.
  • (C) Incorreta: A segunda afirmativa está correta (V), não falsa.
  • (D) Incorreta: A primeira afirmativa está correta (V), não falsa.
  • (E) Correta: A primeira afirmativa é verdadeira (V) porque OAuth significa Open Authorization e seu foco é a delegação de autorização, não a autenticação. A segunda afirmativa é verdadeira (V), pois usar escopos mínimos (princípio do menor privilégio), criptografar tokens de acesso (proteção de dados sensíveis) e proteger as credenciais do aplicativo (segurança da identidade do cliente) são práticas essenciais de segurança para aplicativos OAuth. A terceira afirmativa é falsa (F) porque, embora "Broken Authentication" (implementação incorreta de mecanismos de autenticação) seja de fato uma vulnerabilidade comum no OWASP API Security Top 10, a descrição de seu impacto como "comprometer o sistema de identificar dos equipamentos de origem do incidente de segurança" é imprecisa e confusa. A vulnerabilidade de autenticação quebrada permite o acesso não autorizado a contas ou funcionalidades, não o comprometimento de um sistema de identificação de equipamentos de origem. A armadilha da banca reside em combinar uma informação correta (vulnerabilidade de autenticação) com uma descrição de impacto incorreta e desviante.

Fonte: FGV DNIT 2024 Analista Administrativo - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho