A implantação de criptografia ponta a ponta nas comunicações elimina a necessidade de monitoramento ativo da rede para a detecção de atividades suspeitas relacionadas a ataques de eavesdropping.

Um cliente que receba um e-mail aparentemente legítimo em nome de seu banco corporativo e insira suas credenciais para acessar, por meio de um link fornecido no e-mail, um sítio falso visualmente idêntico ao original, poderá autenticar-se com segurança, caso exista um certificado SSL ativo no sítio, o que garante que os dados enviados serão protegidos contra interceptações durante a comunicação com o servidor.

Na análise de vulnerabilidades em aplicações web, a determinação precisa do tipo de servidor web em que um aplicativo é executado viabiliza que testadores de segurança verifiquem se o aplicativo é vulnerável, identificando, por exemplo, servidores que executem versões mais antigas de software suscetíveis a exploits conhecidos.

Na execução de uma aplicação web, a possibilidade de um usuário não autenticado agir como um usuário autenticado ou de um usuário comum autenticado agir como um administrador representa falha de segurança de elevação de privilégios relacionada ao controle de acesso da aplicação.

Em um sistema de comunicação em rede, a criptografia assimétrica, como o RSA, pode ser usada para proteger o processo de troca de uma chave secreta entre duas partes; após o compartilhamento seguro dessa chave, um algoritmo de criptografia simétrica, como o AES, pode ser utilizado para proteger a transmissão de grandes volumes de dados, devido à sua maior eficiência em comparação aos algoritmos assimétricos para esse tipo de tarefa.

Conforme a NBR ISO/IEC 27002, a organização está isenta de responsabilidade legal ou contratual quando componentes defeituosos ou vulneráveis da infraestrutura de TIC de um fornecedor causarem violações de segurança de dados compartilhados da organização ou de terceiros, desde que haja acordo de confidencialidade assinado entre a organização e o fornecedor.

De acordo com a NBR ISO/IEC 27001, ao estabelecer o programa de auditoria interna, a organização deve desconsiderar resultados de auditorias anteriores para minimizar possíveis vieses, e sortear os auditores encarregados entre aqueles capacitados, de modo a evitar influências políticas no processo da auditoria interna.

Um ataque do tipo cross-site request forgery tem como alvo funcionalidades que causem mudanças de estado no servidor de uma aplicação autenticada, como, por exemplo, alteração do endereço de e-mail ou da senha da vítima, ou realização de compras em nome da vítima.

No contexto do protocolo OpenID Connect, um identity token representa o resultado de um processo de autenticação, com assinatura digital, que contém declarações descritoras do usuário e os detalhes da autenticação, como, por exemplo, informações sobre como e quando o usuário foi autenticado.

No que se refere ao CMMI 2.0, julgue os itens a seguir.

As áreas de prática de verificação e validação estão contidas na categoria de engenharia.