Alternativa correta: C – Certo

1. Tema central da questão

A questão aborda vulnerabilidades em aplicações web relacionadas ao controle de sessão, especialmente sequestro de sessão (session hijacking). Esse é um tema recorrente em provas de Segurança da Informação, pois envolve o entendimento de como proteger usuários durante o uso de sistemas online.

2. Resumo teórico

O sequestro de sessão ocorre quando um invasor obtém acesso não autorizado a uma sessão ativa de um usuário, geralmente capturando ou reutilizando o token de sessão. Mesmo quando o tráfego é protegido por HTTPS, controles inadequados de sessão, como a ausência de expiração automática ou não invalidação de tokens após logout, facilitam ataques. O atacante pode agir como se fosse o usuário legítimo, acessando dados, realizando transações, etc.

De acordo com o OWASP (Open Web Application Security Project), mecanismos de controle de sessão são essenciais para garantir a segurança de aplicações web (fonte).

3. Justificativa da alternativa correta

A afirmativa está correta: mesmo com o uso de HTTPS, se a aplicação não implementa corretamente mecanismos como expiração e invalidação de sessões inativas, permanece vulnerável ao sequestro de sessão. O HTTPS protege a comunicação, mas não substitui os controles internos de sessão.

Exemplo: Se um usuário faz login em um site bancário e não há expiração de sessão, alguém com acesso ao link (ou token) pode acessar a conta mesmo após horas de inatividade, representando alto risco.

4. Estratégias para interpretação

Fique atento a expressões como “mesmo que utilizem HTTPS”. Certifique-se de diferenciar entre proteção da transmissão (HTTPS) e proteção do controle de acesso interno (controle de sessão). Pegadinhas comuns exploram a confusão entre esses conceitos.

Resumo: O uso de HTTPS é importante, mas não basta: o controle eficiente dos tokens de sessão é fundamental para evitar ataques como o sequestro de sessão.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Certo.

O HTTPS protege a sessão durante o transporte, mas não gerencia seu ciclo de vida. Sem um bom controle de sessão (expiração, invalidação), um token roubado por outros meios (ex: XSS) pode ser usado indefinidamente, permitindo o sequestro de sessão.

Siga-me @rexconcurseiro

Certo

HTTPS é necessário, mas não suficiente. O controle correto de sessão (expiração curta, invalidação, armazenamento seguro, rotação e monitoramento) é essencial para mitigar sequestro de sessão

HTTPS protege os dados em trânsito, mas não garante sozinho a segurança da sessão.

Falhas no controle de sessão (tokens sem expiração, sessões não invalidadas, cookies inseguros) facilitam o sequestro de sessão (session hijacking).

Um atacante pode reutilizar um token válido mesmo com HTTPS ativo.

Boas práticas incluem:

• expiração de tokens
• invalidação de sessões inativas
• cookies e