A SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB

 SISTEMA DE ENSINO PRESENCIAL CONECTADO
CURSO SUPERIOR DE TECNOLOGIA EM
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

WANDERLEY NUNES CRISTO

DESENVOLVIMENTO DE SISTEMAS DE INFORMAÇÃO II

Produção Textual Interdisciplinar – Portfolio

Trabalho apresentado ao Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas à Universidade Norte do Paraná - UNOPAR, para as disciplinas Banco de Dados II, Análise Orientada a Objetos II, Programação Orientada a Objetos, Programação para Web I e Seminários IV.
Prof.: Roberto Y. Nishimura, Anderson Emídio M.Gonçalves, Marcio Roberto Chiaveli e Prof.ª Veronice de Freitas.
Tutor eletrônico: Jose Henrique Lopes Oliveira Bento
Tutor de sala: Rosinaldo Leão dos Santos

Breves
2014

SUMÁRIO
1 INTRODUÇÃO ..................................................................................................... 3
2 OBJETIVO ........................................................................................................... 4
3 O NEGOCIO TELECINE MOZER

4 SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB..................... 5
4.1 VULNERABILIDADES COMUNS ..................................................................... 6
4.2 UTILIZAÇÕES DE FIREWALLS E PROTOCOLO HTTPS. .............................. 7
4.2.1 FIREWALLS .................................................................................................. 7
4.2.2 HTTPS: ......................................................................................................... 8
5 DIAGRAMA DE ATIVIDADE (UML) ..................................................................... 9
5.1 CONCEITOS USADOS NOS DIAGRAMAS DE ATIVIDADES ......................... 9
5.2 ESTADO DE ATIVIDADE E ESTADO DE AÇÃO ........................................... 10
5.3 EXEMPLO DE DIAGRAMA DE ATIVIDADE .................................................. 11
6 NORMALIZAÇÃO DO DIAGRAMA ENTIDADE RELACIONAMENTO (MRN) ... 12
6.1 MODELO ENTIDADE RELACIONAMENTO (MER) ....................................... 12
6.2 DIAGRAMA ENTIDADE-RELACIONAMENTO (DER) .................................... 12
6.3 NORMALIZAÇÃO ........................................................................................... 13
6.4 DER NORMALIZADO ..................................................................................... 15
7 CONCLUSÃO .................................................................................................... 16
REFERÊNCIAS ...................................................................................................... 17

1  INTRODUÇÃO

1 Introdução

Hoje os serviços disponibilizados para uma infinidade de situações estão mudando cada vez mais para a plataforma WEB, isso ocorre devido a facilidade que essa plataforma proporciona. Porém, nem sempre, as aplicações desenvolvida para essa plataforma atendem os requisitos básicos de segurança da informação, confiabilidade da informação e disponibilidade da informação. Nesse trabalho, além de abordarmos esse pontos, também falaremos de diagramas de atividade e normalização de um Diagrama de Entidade Relacionamento aplicando estes conceitos para o negocio de Telecine Mozer, empresa na área de locação e venda  de filmes pela Internet.

2  OBJETIVO

Este trabalho tem por objetivo levar as pessoas o a conhecer os problemas básicos que ocorrem no desenvolvimento de aplicações WEB da empresa Telecine Mozer, tendo como foco a segurança no desenvolvimento de aplicações WEB, os conceitos básicos de um Diagrama de Atividade e suas características e a Normalização de dados no Diagrama Entidade Relacionamento do sistema da empresa Telecine Mozer.

3 O negócio Telecine Mozer

Telecine Mozer possibilita uma locação de filmes que estarão disponíveis, além dos canais que você já paga em sua assinatura de TV a cabo. As mensalidades são de R$ 15,50 para que tenha aceso à biblioteca de filmes disponíveis. Estes filmes poderão ser locados por valores que variam de R$ 2,50 a R$ 4,00. A abrangência deste serviço é em todo o Brasil.
Locação
A maioria das locações não necessita de uma reserva antecipada. A escolha dos filmes é feita pelo site, que, no horário devido, disponibilizará o filme locado no canal 654 específico para filmes locados.
O pagamento será executado diretamente no boleto da mensalidade. O telecine Mozer possui um cadastro de seus clientes, suas locações e registros de algum contratempo, pois está sendo implementado no novo site ofertas para os clientes fiéis e mostras antecipadas dos filmes disponíveis.
Restrições
O telecine Mozer só poderá ser acessado pelo assinante que recebe uma senha com seu boleto mensal. Sem esta senha não será possível fazer a compra apelo site. Mensalmente, esta senha será alterada mediante o pagamento.

4 Segurança no desenvolvimento de Aplicações Web

                            Atualmente as vulnerabilidades nas aplicações web são o maior vetor para os ataques contra a segurança de TI. Os artigos no noticiário acerca dos ataques que comprometem os dados confidencias frequentemente mencionam o método usado sendo “cross-site scripting”, “SQL injection” e “erros de configurações de websites”. Muitas vezes as vulnerabilidades deste tipo estão fora da experiência tradicional dos administradores de segurança de TI. Esta relativa obscuridade das vulnerabilidades dos aplicações web faz deles alvos atrativos para atacantes. Como muitas organizações têm descoberto, esses ataques evadirão as defesas tradicionais das redes empresariais, e novas defesas são necessárias. As vulnerabilidades das aplicações web em geral tem origem em configurações com falhas ou em erros de programação nas linguagens usadas para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc.). Estas vulnerabilidades podem ser complexas e podem se manifestar em muitas situações diferentes.

                            A segurança das aplicações, principalmente aquelas conectadas a uma rede aberta é perigosa como é a Internet. Essa complexidade advém do fato que as aplicações web são agrupamentos bastante heterogêneos de plataformas, bancos dedados, servidores de aplicação, etc. Uma aplicação típica, geralmente, está distribuída em vários servidores, rodando diversos aplicativos e para funcionar na velocidade adequada, a aplicação precisa que as interfaces entre os diversos sistemas sejam construídas com a premissa que os dados passados através da mesma são confiáveis e não hostis. Não há tempo hábil para duplas verificações nas aplicações e a necessidade de haver “confiança” entre os diversos subsistemas e é disso que os hackers e outros ciber criminosos se aproveitam. Para o sistema aplicativo, frequentemente desenvolvido in house ou por terceiros, especificamente para a empresa, não existem patches de segurança. Segundo o Gartner, 75% dos ataques são concentrados nos aplicativos específicos de cada empresa, pois os atacantes sabem das suas fragilidades.

4.1   Vulnerabilidades comuns

Nestes sistemas complexos, a segurança dos produtos disponíveis no mercado é assegurada pelos fabricantes, que fornecem periodicamente patches que os atualizam.

Os ataques que hoje conhecemos são baseados em vulnerabilidades típicas de aplicações web complexas. Mesmo os sistemas operacionais que são mantidos por grandes empresas, empregando milhares de profissionais, têm vulnerabilidades que são periodicamente descobertas por hackers e só se transformam em patches depois que os hackers já atacaram algumas vezes, que o problema foi comunicado ao fabricante e devidamente corrigido.

A Internet agregou outros componentes de risco, sendo muito importante o “efeito comunidade” em que os hackers e outros criminosos se julgam fazendo parte de uma “comunidade” e obrigados a compartilhar rapidamente suas descobertas. Isto significa que qualquer vulnerabilidade descoberta nas suas aplicações será rapidamente divulgada, com as ferramentas necessárias para atacá-la, e outros hackers e cibe criminosos aproveitarão as vulnerabilidades da sua aplicação. Os ataques podem causar uma série de problemas, entre os quais se podem citar:

...