Uma das vulnerabilidades do OpenID Connect é o uso de token...

Com base no mesmo assunto

Ano: 2025 Banca: CESPE / CEBRASPE Órgão: STM Prova: CESPE / CEBRASPE - 2025 - STM - Analista Judiciário - Área: Apoio Especializado - Especialidade: Suporte em Tecnologia da Informação |

Q3409319 Segurança da Informação

Texto associado

A respeito de OpenId Connect, julgue o item subsequente.

Uma das vulnerabilidades do OpenID Connect é o uso de tokens não assinados para transportar atributos pessoais do usuário final.

Certo

Errado

Incorreta. Gabarito oficial da banca:

Errou um tema comum da banca? Veja o que mais costuma cair no Raio-X. Ver raio-X

teste

Parabéns! Você acertou!

Essa questão segue o padrão da banca! Veja o que mais costuma cair. Ver raio-X

teste

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E (Errado)

1. Tema central da questão

O tema aborda OpenID Connect, um protocolo moderno de autenticação usado amplamente em aplicações web e móveis. A questão exige conhecimento sobre tokens e seu papel na segurança desse protocolo.

2. Resumo teórico

O OpenID Connect é construído sobre o OAuth 2.0 e usa tokens de identificação (ID Tokens) para transmitir informações sobre o usuário. Esses tokens são geralmente no formato JWT (JSON Web Token) e, por padrão, são assinados digitalmente usando algoritmos como RS256 (RSA com SHA-256) ou HS256 (HMAC com SHA-256).

A assinatura digital garante a autenticidade e a integridade das informações, evitando que atributos pessoais do usuário sejam alterados ou forjados por terceiros.

Fontes: OpenID Connect Core 1.0; RFC 7519 (JWT).

3. Justificando a alternativa correta

A afirmação de que uma vulnerabilidade do OpenID Connect é o uso de tokens não assinados para transportar atributos do usuário está errada. O protocolo exige a assinatura desses tokens para garantir a segurança. Se um token não for assinado, isso viola o padrão e a implementação será considerada insegura, não sendo uma característica do OpenID Connect em si.

Assim, a resposta correta é E (Errado).

4. Estratégia de interpretação

Quando a questão fala em “vulnerabilidade do OpenID Connect”, analise se o comportamento citado faz parte do padrão. Se for uma exceção ou má implementação, não pode ser atribuída ao protocolo, mas sim a quem configurou incorretamente.

Palavras como "não assinados" e "atributos pessoais" são pistas importantes: tokens que transportam dados sensíveis precisam de autenticidade. Se a questão afirmar o contrário, desconfie!

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

O ID Token (que carrega atributos pessoais) é sempre assinado no OIDC.

No OpenID Connect, os ID Tokens devem ser obrigatoriamente assinados, conforme especificação oficial (OpenID Connect Core 1.0):

Ou seja:

✔️ O uso de tokens não assinados não é permitido pela especificação oficial.

❌ Portanto, se um sistema utilizar tokens não assinados, não é uma "vulnerabilidade do protocolo", e sim uma implementação incorreta, ou violação da especificação.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

🚀 Quer mais performance?