A analista Ana desenvolve a plataforma X, que deve ser capaz...

Próximas questões
Com base no mesmo assunto
Q3874360
Segurança da Informação Criptografia , Autenticação ,
Ano: 2026 Banca: FGV Órgão: TJ-RJ Prova: FGV - 2026 - TJ-RJ - Analista Judiciário - Tecnologia da Informação - Analista de Sistemas |
Q3874360 Segurança da Informação
A analista Ana desenvolve a plataforma X, que deve ser capaz de receber notificações de sistemas externos quando houver mudança no status de determinados processos judiciais. Para adicionar essa funcionalidade, Ana desenvolveu um webhook, disponibilizando na plataforma um endpoint para receber as notificações. A fim de aprimorar a segurança das notificações recebidas, a analista implementou o mecanismo de validação que é altamente empregado na indústria de TI em APIs reversas, capaz de verificar tanto a integridade da notificação quando a autenticidade do remetente a cada requisição recebida, com baixo overhead.
No webhook de notificação da plataforma X, Ana implementou o mecanismo de validação:
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E

Fundamento decisivo: A pista decisiva é a exigência de validar, a cada requisição do webhook, a integridade da notificação e a autenticidade do remetente com baixo overhead. Isso aponta para MAC como categoria funcional.

Tema central: Autenticação de mensagens
Análise das alternativas
A
Errada
Fernet é um esquema de criptografia simétrica autenticada para proteger dados ou tokens. O enunciado cobra o mecanismo funcional de validação de mensagens em webhook por requisição, não um esquema específico de proteção de dados.
B
Errada
JSON Web Key é um formato de representação de chaves em JSON, e não o mecanismo que verifica integridade e autenticidade da notificação.
C
Errada
JSON Web Token é um formato de token para transportar claims. Ainda que possa vir protegido criptograficamente, não é, por si só, o mecanismo conceitual de autenticação de mensagem descrito no enunciado.
D
Errada
JSON Web Signature é um padrão específico para assinar objetos JSON/JOSE. A questão não pediu um padrão JSON específico, mas o mecanismo genérico típico de webhook com segredo compartilhado e baixo overhead, que é MAC.
E
Certa
Message Authentication Code é o mecanismo criptográfico usado para autenticar uma mensagem com base em segredo compartilhado, permitindo ao destinatário confirmar a integridade do conteúdo e a autenticidade da origem. Isso coincide com o cenário descrito para webhooks/APIs. Por isso, a alternativa E é a que corresponde ao mecanismo pedido.
Pegadinha da questão
A confusão explorada foi entre mecanismo criptográfico de autenticação de mensagem e formatos/padrões relacionados a JSON e tokens, como JWK, JWT e JWS.
Dica para questões semelhantes
  • Se a descrição falar em verificar integridade da mensagem e autenticidade da origem a cada requisição com segredo compartilhado, pense em MAC como categoria.
  • Separe mecanismo criptográfico daquilo que é apenas formato, contêiner ou representação: JWK representa chave, JWT é token e JWS é padrão de assinatura.
  • Em webhook/API reversa, baixo overhead por requisição favorece validação por MAC/HMAC, não soluções mais pesadas ou padrões não exigidos pelo enunciado.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Kkkkkkk

Essa questão cobra um conceito clássico de segurança em APIs/webhooks.

O mecanismo deve:

  • ✔ Verificar integridade da mensagem
  • ✔ Garantir autenticidade do remetente
  • ✔ Ter baixo overhead
  • ✔ Ser comum em APIs/webhooks

Isso descreve exatamente um:

MAC (Message Authentication Code)

É um código gerado com uma chave secreta compartilhada, que permite:

  • ✔ Garantir que a mensagem não foi alterada (integridade)
  • ✔ Confirmar que veio de quem possui a chave (autenticidade)

Muito usado em webhooks (ex: HMAC-SHA256)

  • A) Fernet → criptografia simétrica (não é o foco aqui) ❌
  • B) JSON Web Key (JWK) → estrutura de chave ❌
  • C) JSON Web Token (JWT) → token, não exatamente o mecanismo descrito ❌
  • D) JSON Web Signature (JWS) → assinatura digital (mais pesado, assimétrico) ❌
  • E) Message Authentication Code (MAC) → ✔ exatamente o que foi descrito ✅

Se a questão falar:

  • “integridade + autenticidade + baixo custo” → MAC / HMAC
  • “assinatura com chave pública/privada” → JWS / RSA
  • “token de autenticação” → JWT

Chat GTP

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas