Escolar Documentos
Profissional Documentos
Cultura Documentos
Fasci-Tech
2. Segurana da informao
A segurana de sistemas cada vez mais importante para empresas e indivduos,
especialmente com o constante aumento do nmero de servios prestados via Internet e
de incidentes de segurana, segundo Sommerville (2007). Para Fiorio et al. (2007), a
segurana em sistemas computacionais consiste em empregar conceitos, metodologias e
tcnicas que protejam o sistema de ataques, sobretudo externos, que venham a gerar
prejuzos tanto de ordem financeira quanto social.
De acordo com Bishop (2008), a segurana da informao composta por trs
pilares, que so:
Confidencialidade: manter informaes ou recursos em segredo. Exemplo: o uso
de nome de usurio e senha que permite que somente um usurio acesse o e-mail.
Integridade: a confiabilidade na origem da informao. Exemplo: um usurio
recebe um e-mail de seu amigo que foi alterado por um interceptador, perdendo a
integridade.
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
3. Vulnerabilidades da Web
De acordo com a classificao do The Open Web Application Security Project
(2010), as dez vulnerabilidades mais crticas da Web so:
1) Injeo de cdigos: insero de cdigos arbitrrios, como SQL injection, em um
sistema que pode permitir a um atacante realizar operaes no autorizadas.
2) Cross-site scripting (XSS): insero de cdigos arbitrrios em pontos falhos de
uma aplicao que so executados quando os usurios a acessam. Estes pensam
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
4. Prticas de segurana
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
Caixa de texto
Caixa de texto ou textbox provavelmente o tipo de campo mais problemtico
na validao de formulrios, j que o usurio pode informar qualquer coisa.
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
Campos ocultos
Campos ocultos so aqueles que no so mostrados no formulrio para o
usurio. Seu intuito manter informaes na mquina do usurio que sero usadas
posteriormente pelo aplicativo. No se deve armazenar dados importantes em campos
ocultos, j que o HTML pode ser modificado. Dentre as alternativas, h cookies e
passagem de parmetros pela URL.
Mtodo GET
Pelo mtodo GET, os dados dos formulrios so passados como parmetros na
URL. Van der Stock et al. (2005) afirmam que o processamento de formulrio por esse
mtodo no deve ser usado, j que ele aumenta as chances de XSS. O mtodo POST
deve ser o padro, GET deve ser usado apenas para propsitos de navegao.
Senhas fortes
O nvel de segurana das senhas est relacionado ao quo rpido elas podem ser
quebradas. Com relao a ataques brute force (tentativa e erro) e de dicionrio (o
mesmo que brute force, porm com palavras pr-selecionadas) quanto mais caracteres e
variaes de caracteres, mais difcil ser quebr-la. Ento, pode-se dizer que senhas
fortes tm as seguintes caractersticas:
So longas, acima de 8 dgitos.
Possuem letras maisculas e minsculas (sistema deve diferenci-las), nmeros e
outros caracteres.
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
Expirao de senha
Mesmo senhas fortes podem ser quebradas depois de algum tempo. Para se
evitar esse problema, Bishop (2008) afirma que as senhas devem ter um prazo de
expirao ao final do qual o usurio precisa inserir uma nova senha. Essa imposio
certamente no de agrado de muitos usurios, j que requerem que memorizem uma
nova senha. O autor ressalta ainda que de nada adianta o usurio colocar uma senha j
usada como nova, sendo necessrio um mecanismo que verifique isso.
Apesar de ser uma tcnica que garante maior confiabilidade, a aplicao da troca
de senha deve levar em considerao as necessidades de segurana que o negcio exige.
Limitao de tentativas
Ataques com testes de tentativa e erro utilizam softwares automticos. Limitar o
nmero de tentativas pode ser uma soluo, como ocorre com senhas de bancos. Porm,
ao contrrio dos bancos, o usurio pode no ter como ir fisicamente a um determinado
lugar para desbloquear sua conta. Dentre as alternativas, Bishop (2008) sugere um
limite de tentativas por um determinado tempo e Pinto e Stuttard (2008), o uso do
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.
Fasci-Tech
Apart), que permite distinguir uma pessoa de uma mquina mostrando-lhe caracteres
distorcidos e pedindo para que os digitem em um formulrio.
Fasci-Tech
Envio de e-mail: neste caso enviado um e-mail ao usurio com sua senha, uma
nova senha ou um link para recadastrar a senha. Geralmente o que ocorre o
envio dos dados para o e-mail previamente cadastrado, a senha do e-mail serve
como autenticao. Este mtodo relativamente simples e confivel, mas o nvel
de segurana depende de como o usurio trata de seu e-mail.
Vale lembrar que tambm pode haver combinaes dos mtodos citados, como
definir uma pergunta secreta para a qual se a resposta for correta enviar um e-mail
contendo um link temporrio que permite redefinir a senha.
5. Consideraes Finais
O constante aumento no nmero de incidentes de segurana e a alavancagem dos
sistemas Web tornam importante a manuteno de sua seguridade. Porm, com as
exigncias do mercado, os desenvolvedores tm priorizado outros aspectos do
desenvolvimento de software em detrimento da segurana. Das dez vulnerabilidades
mais crticas da Web, sete tm relao direta com o processo de desenvolvimento.
necessrio dar uma maior ateno ao aspecto de segurana nesta fase com a aplicao
de prticas que reduzam as possibilidades de falhas e prejuzos para a empresa, os
clientes e o prprio desenvolvedor.
Referncias:
Fasci-Tech
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.
56 a 66.