PRÁTICAS DE SEGURANÇA PARA O DESENVOLVIMENTO DE SISTEMAS WEB

Ensaios: PRÁTICAS DE SEGURANÇA PARA O DESENVOLVIMENTO DE SISTEMAS WEB. Pesquise 860.000+ trabalhos acadêmicos

Por: baiano2014 • 3/11/2014 • 3.124 Palavras (13 Páginas) • 440 Visualizações

Página 1 de 13

Eric Komiyama Aoki1

Prof. MSc. Alan Henrique Pardo de Carvalho2 Resumo: A escalabilidade, portabilidade e fácil acesso providos pela plataforma Web têm popularizado seu uso no desenvolvimento de diversas aplicações. Porém, o crescente número de incidentes de segurança levanta preocupações quanto à sua seguridade. Uma parte destes incidentes decorrem da falta de consideração de segurança durante o processo de desenvolvimento. Este trabalho tem como objetivo propor práticas de segurança a serem aplicadas durante o processo de desenvolvimento de software Web que minimizem os riscos, aumentando a qualidade e confiabilidade do produto final. Nele serão apresentados: conceitos de segurança da informação, as vulnerabilidades mais comuns existentes em software Web e algumas práticas que devem ser aplicadas durante o desenvolvimento. Palavras chave: Web; segurança; desenvolvimento; vulnerabilidade. Abstract: Scalability, portability and easy access provided by the Web plataform has popularized its use in the development of various application. However, the growing number of security incidents raised concerns about its safety. One reason for these incidents is the lack of security consideration during the development process. This paper aims to propose security practices to be applied during the development process of Web software that minimize risks, enhancing quality and reliability of the final product. It will be presented: information security concepts, the most common vulnerabilities on Web software and some practices that should be applied during the development. Keywords: Web; security; development; vulnerability.

1. Introdução

Nos últimos anos, o desenvolvimento de aplicações voltadas à Web vem sendo expandido por apresentar vantagens sobre software instalado localmente, tais como: não

1 Aluno de Iniciação Científica do Curso de Bacharelado em Análise de Sistemas e Tecnologia da Informação da FATEC-São Caetano do Sul. 2 Professor da FATEC-São Caetano do Sul (Orientador do Trabalho).

Fasci-Tech

Fasci-Tech – Periódico Eletrônico da FATEC-São Caetano do Sul, São Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.

56 a 66.

necessidade de instalação local, atualização rápida, fácil escalabilidade e acesso de qualquer local com conexão à Internet. Porém, o aumento no número de incidentes de segurança na Web gera preocupação quanto à confiabilidade desses sistemas. As estatísticas do Centro de Estudos, Reposta e Tratamento de Incidentes de Segurança no Brasil mostram que o número de incidentes notificados mais que dobraram de 2005 (68.000) a 2010 (142.844). Os investimentos em infraestrutura na área de segurança, com o uso de firewalls e antivírus, por exemplo, fornecem alguma proteção às redes e aos servidores, embora sejam insuficientes frente às necessidades de segurança no nível da aplicação. Para suprir essa lacuna existem práticas que podem ser utilizadas durante o desenvolvimento dos sistemas, embora acabem sendo negligenciadas por muitos desenvolvedores em favor do tempo de entrega, da usabilidade e do design gráfico, como relatado por Scott e Sharp (2002).

2. Segurança da informação

A segurança de sistemas é cada vez mais importante para empresas e indivíduos, especialmente com o constante aumento do número de serviços prestados via Internet e de incidentes de segurança, segundo Sommerville (2007). Para Fiorio et al. (2007), a segurança em sistemas computacionais consiste em empregar conceitos, metodologias e técnicas que protejam o sistema de ataques, sobretudo externos, que venham a gerar prejuízos tanto de ordem financeira quanto social. De acordo com Bishop (2008), a segurança da informação é composta por três pilares, que são: Confidencialidade: é manter informações ou recursos em segredo. Exemplo: o uso de nome de usuário e senha que permite que somente um usuário acesse o e-mail. Integridade: é a confiabilidade na origem da informação. Exemplo: um usuário recebe um e-mail de seu amigo que foi alterado por um interceptador, perdendo a integridade.

Fasci-Tech

Fasci-Tech – Periódico Eletrônico da FATEC-São Caetano do Sul, São Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.

56 a 66.

Disponibilidade: é a garantia de que as informações estarão disponíveis aos usuários autorizados quando necessário. Exemplo: a sobrecarga nos servidores da Receita Federal compromete a disponibilidade do sistema de envio de declarações de impostos.

Em aplicações Web, a manutenção dos três pilares pode ser mais difícil do que naquelas rodadas localmente. Isso se deve ao fato de estarem disponíveis em uma rede aberta, o que pode comprometer a confiabilidade e integridade, e de dependerem, muitas vezes, da infraestrutura de terceiros, o que pode comprometer a disponibilidade. Para Pinto e Stuttard (2008), o maior problema de segurança das aplicações Web é o fato de que os usuários podem fazer entradas arbitrárias, ou seja, podem transmitir tipos de dados não previstos no software, como parâmetros, comandos e cookies, que podem comprometer a aplicação e a seguridade de seus dados. Isso é reforçado por Scott e Sharp (2002), que afirmam que a maioria dos problemas de segurança no nível de aplicação são causados pelo fato de que o aplicativo assume que os dados transmitidos pelos usuários são confiáveis. Uma das estratégias adotada pelos desenvolvedores para lidar com esses problemas é a de pensar que o usuário irá abusar do sistema de alguma maneira. É o que Van der Stock et al. (2005) definem como processo "Thinking Evil™", colocar-se como atacante para pensar nos meios de proteção.

3. Vulnerabilidades da Web

De acordo com a classificação do The Open Web Application Security Project (2010), as dez vulnerabilidades mais críticas da Web são:

1) Injeção de códigos: inserção de códigos arbitrários, como SQL injection, em um sistema que pode permitir a um atacante realizar operações não autorizadas.

2) Cross-site scripting (XSS): inserção de códigos arbitrários em pontos falhos de uma aplicação que são executados quando os usuários a acessam. Estes pensam

Fasci-Tech

Fasci-Tech – Periódico Eletrônico da FATEC-São Caetano do Sul, São Caetano do Sul, v. 1, n. 5, Out/Dez 2011, p.

...

Baixar como (para membros premium) txt (20.7 Kb)

Continuar por mais 12 páginas »

Disponível apenas no TrabalhosGratuitos.com

Ler documento completo Salvar

Informação

Denunciar este trabalho

Trabalhos relacionados

Ferramentas De Sistema Web
1. Introdução O presente Relatório tem por objetivo, dar a conhecer as principais atividades desenvolvidas, com a convicção de que os resultados alcançados foram positivos

5 Páginas • 783 Visualizações
ATPS - Ferramentas Sistemas WEB
1. Relatório 1 – Analise e Layout 1.1 Resumo do artigo “Como funciona a Internet”. Resumo “Como funciona a Internet” Com poucos anos de vida

2 Páginas • 818 Visualizações
Herramientas de desarrollo de sistemas web
Unidade Centro Universitário Anhanguera de Dourados MS, Curso Tecnologia em Análise e Desenvolvimento de Sistemas Disciplina Ferramentas para Sistemas Web Participante Alexandre Felipe Santos Figueiredo

8 Páginas • 420 Visualizações
Ferramentas Para Sistemas Web
Como funciona a internet Resumidamente, os dois componentes principais da internet são: Hardware: Inclui tudo, dos cabos que carregam terabits de informação por segundo aos

2 Páginas • 567 Visualizações
Portifolio Do 3º Semestre De Analise E Desenvolvimento Sistemas
SISTEMA DE ENSINO PRESENCIAL CONECTADO CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS DANIEL JORGE DE ALBUQUERQUE LIMA PRODUÇÃO TEXTUAL INTERDICIPLINAR - INDIVIDUAL

17 Páginas • 1816 Visualizações
CONTRIBUIÇÕES PARA O MANEJO SUSTENTÁVEL DA ÁGUA NOS POSTOS DE SERVIÇOS AUTOMOTIVOS DO ESPAÇO URBANO DE PONTA GROSSA, PR: VIABILIDADE ECONÔMICA DO SISTEMA DE APROVEITAMENTO DE ÁGUA DE CHUVA
1 CONTRIBUIÇÕES PARA O MANEJO SUSTENTÁVEL DA ÁGUA NOS POSTOS DE SERVIÇOS AUTOMOTIVOS DO ESPAÇO URBANO DE PONTA GROSSA, PR: VIABILIDADE ECONÔMICA DO SISTEMA DE

37 Páginas • 920 Visualizações
ATPS Ferramenta Para Sistema Web
1. RELATÓRIO DE ANÁLISE E LAYOUT 1.1. Resumo do artigo “Como Funciona a Internet”, dos editores de HowSttuffWorks Mesmo com pouco tempo de vida, a

4 Páginas • 670 Visualizações
Tecnologia Do Desenvolvimento. Sistema De Informações Gerenciais.
1 - De que forma a teoria geral dos sistemas e suas premissas podem ser utilizadas analogicamente para a gestão das organizações? R: 2 -

2 Páginas • 1081 Visualizações
Sistemas - Web Designer
Etapa 1 1.1 Relatórios 01: Codificação das Classes do Sistema. • Classe Usuário Class Usuario { Private int codigo; Private string nome; Private string login;

5 Páginas • 569 Visualizações
Atividade de Auto desenvolvimento - Sistema de informações Gerenciais
Centro Universitário Anhanguera de Campo Grande Acadêmica Aline Portilho Gonçalves RA 3227022612 Atividade de Auto desenvolvimento - Sistema de informações Gerenciais Passo 1 etivo é

3 Páginas • 733 Visualizações

Tópicos similares

Tenha acesso a mais de 860.000 trabalhos e monografias
Junte-se a mais de 3.908.000 outros alunos
Trabalhos e monografias de alta qualidade

Registrar