Header Ads

Segurança na Web para Profissionais de Tecnologia. Princípios Básicos.


Web Services
Solução na interação entre sistemas e comunicação de aplicações diferentes e as diversas plataformas possibilitando os protocolos de segurança interagirem de forma integrada entre os mais diversos sistemas, fator este de suma importância para aplicações como comercio eletrônico que através do EAI ou enterprise aplication integration são os meios computacionais utilizados para interação dos diversos tipos de arquitetura de sistemas em processos de integrações corporativas.

(EAI)
File transfer – Integração de aplicativos através de arquivos em formato de texto definidos.
Sharede database – integração de aplicativos de troca de dados entre a base de dados ou tabelas.
RemoteProcedure Invocation – Integração entre aplicativos por programas remotos que são responsáveis pela assistência remota dos dados no sistema.
Messagin – Integração de aplicativos a mensagem responsáveis por este envio de maneira correta a sistemas integgrados.

(ERP)
Enterprise Resource Planning ou sistema integrados de gestão empresarial, coordena e interage com a EAI dos Web services, seus aplicativos de maneira a coordenar a integridade dos dados e a automação de armazenamento de todas as informações de um negocio, como a logística e redundância dos dados.

Considerações sobre segurança
Todos estes processos descritos possibilitam a verificação de erros através de formulários, porem quem protege o sistema de comandos SQL maliciosos ou scripts é a tecnologia de software pela plataforma utilizada pelo servidor, responsável por coordenar todos estes processos de forma segura.

Servidor Apache
Mais bem sucedido servidor web livre representando 47,20% dos servidores ativos do mundo, compatível com o protocolo HTTP que utiliza de softwares através de SSL e TLS da interface de entrada de comandos, baseado em registro de domínios públicos e privados, entre certificado e identidade digital assim como o caminho destes processos e a decodificação de criptografia restrita a redundância do endereçamento das mensagens.

Etimologia do servidor Apache
Referencia obvia a tribo apache conhecida e por suas táticas super eficientes e suas estratégias de segurança e combate superiores de maneira sumaria.

Apache e Tomcat
O tomcat é um aplicativo do Apache para auxiliar a coordenar aplicativos Java, assim como scripts maliciosos que possam estar envolvidos na comunicação ou processamento dos aplicativos relacionados a sua função.

SSL

Security Socket Layer é responsável pelo TCPIP de envio e destino das mensagens é criada pelo sistema de DHCP e estas mensagens que saem por um soquete de identificação única seguem de forma criptografada que dificulta a compreensão da mensagem para no caso de intercepção a sua compreensão através de uma criptoanalise se tornar mais difícil.

TLS

Protocolo de camada de sockets segura que é o predecessor ao SSL, registrando os caminhos referentes ao caminho que as mensagens passam entre a SSL de entrada e a de saída, seus registros de chaves publicas e privadas em camadas dificultando a colisão ou interceptação dos dados por causa justamente da SSL, so pode ser decodificada para o seu IP de destino se beneficiando ainda por cima de certificados digitais associados a chaves publicas.

Certificado de Validação Avançado
Surgindo com o Netscape, padronizando os sistemas de protocolo para interação de grandes instituições financeiras como Visa, Mastercard, American Express dentre outras para o comercio eletrônico cegura, baseando-se de certificados digitais que são monitorados e registrados, onde no Brasil quem cuida da autenticação, atualização e registro destes processos é a ICPBrasil, relacionando o certificado digital a uma entidade de chave publica ou privada uma vez que a troca de chaves simétricas tornou-se impraticável por causa da rede de confiança. Já que o processo permite e assegura identificar o autor da mensagem ou transação através da definição dos processos de interface local, interface remota, ou ambas ficam registradas em um banco de dados ou outra unidade de armazenamento, processando as mensagens de modo assíncrono do session bean que executa a tarefa para o cliente e a API da mensagem, e estas API’s possibilitam informações extras como cadastros adicionais do titular, eminente alem de especificações de propósito do certificado e outros, podendo com isto garantir validade jurídica a tramites eletrônicos por estas entidades realizados.

Criptografia de Chave Publica
Chave publica ou assimétrica – trabalha com a chave publica que é distribuída livremente pelo meio utilizado para este processo e a chave privada que deve ser conhecida pelo seu próprio dono autenticando a decodificação ou criptoanalise da mensagem uma vez que o seu autor foi assegurado assim como a autenticidade e confidencialidade destes.

Ataques Característicos

De acordo com a possibilidade de ameaça a criptosistemas do mundo real elas podem acontecer de algumas formas definidas em categorias que descreveremos abaixo:
1 – Facilidade de conhecimento geral e potencial necessários de pré-requisitos a criptoanalise
2 – Possibilidade a quantidade de informação secreta adicional poder ser deduzida
3 – Relacionados a complexidade computacional associado a relação entre a criptografia e a criptoanalise

Tipos de Ataque
Relacionados ao sucesso da criptoanálise feita pelo atacante e esta só é feita pois se sabe que a criptografia e a criptoanalise andam em paralelo, e são produzidas em decodificação de algoritmo da mensagem para envio em segurança, criada na época da guerra para envio de informações militares de forma segura evitando o risco de se interceptadas poderem ser compreendidas.
Ruptura total – dedução da chave secreta
Dedução global – algoritmo funcionalmente equivalente a criptografia, porem sem aprender a chave
Dedução local – Não conhece a chave secreta nem o algoritmo, porem descobre a mensagem cifrada
Dedução da informação – interceptação de plaintexts ou mensagens, não conhecidos previamente.
Algoritmos distinguidos – se descobre uma cifra de uma permutação aleatória.
A complexidade destes ataques se dá devido a complexibilidade destes ataques devido a estimativa de tempo necessária para se poder compreender ou decodificar este no que se refere a sua execução primaria, memória requerida fisicamente ou seja a nível de hardware para poder se executar as tarefas necessárias para se poder fazer a criptoanálise e dados no que se referem a relevância de seus conteúdos e das mensagens cifradas requeridas.

DHCP

Dinamic Host Configuration Protocol define a numeração IP, existe uma premissa de que haja saturação do atual protocolo o IPV4 ate outubro de 2010 e a nova versão vem com novos protocolos associados a chave publica, certificado digital que permitira mais segurança principalmente no que se refere a recursos relacionados a criptografia aumentando a confiabilidade do sistema e será o IPV6, já encontrado em alguns sistemas.

API

Aplicações que rodam em interação de autenticação de certificados e afins com o software de aplicativo do sistema, sem a complexidade do sistema interagindo com o usuário software de aplicativo do servidor e browser, que ao contrario do aplicativo do servidor a API é desenvolvida pelo programador do sistema.

TTL

Time to Life, se refere ao numero de saltos entre maquinas que os pacotes podem demorar numa rede de computadores delimitado por qualquer router para evitar que uma vez que este não seja feito devidamente o looping não seja eterno, fator este muito importante também para o tracerouting.

SSH

Oferece recurso túnel para requisição de caminho alternativo (porta) possibilitando acesso e redirecionamento a computadores com firewall, tal pratica não é ilegal contanto que o fluxo do conteúdo esteja de acordo com as normas da instituição.

SET

Se refere a todos os processos que nos referimos para comunicação e confiabilidade do sistema com relação a negociações assimétricas de forma que as mensagens sejam feitas em segurança, envolvendo os diversos protocolos e aplicativos requeridos no decorrer destas etapas.

Elastic Clouds
Refere-se a forma que podem agir os softwares de aplicativos do sistema, onde estes interagem de forma recíproca, para averiguação das informações retornadas pelas API’s para que desta forma possa aproveitar a operabilidade da segurança contra instruções SQL maliciosas e aplicações Java desta mesma natureza.

Nenhum comentário:

Tecnologia do Blogger.