Categoria
Muitos desenvolvedores cometem um erro crítico: acreditam que validar dados na entrada é suficiente para garantir segurança em todas as saídas. Essa confusão entre validação e sanitização é uma das principais causas de vulnerabilidades em aplicações web.
Privacy by Design (PbD), cunhado por Ann Cavoukian, estabelece que a privacidade deve ser incorporada ao sistema desde o início, não tratada como um complemento posterior. Os 7 princípios são:
Para este projeto final, definimos como alvo uma aplicação web de exemplo chamada TaskManager Pro, construída com React no frontend, Node.js/Express no backend e PostgreSQL como banco de dados. A aplicação gerencia tarefas de equipes, armazena dados pessoais (nome, e-mail, hash de senha) e expõe uma API RESTful.
A criptografia assimétrica que protege a internet hoje — RSA, ECDH, ECDSA — baseia-se em problemas matemáticos que são difíceis para computadores clássicos, mas triviais para um computador quântico suficientemente grande. O algoritmo de Shor, proposto por Peter Shor em 1994, demonstra que a fatoração de inteiros e o logaritmo discreto podem ser resolvidos em tempo polinomial em um computador quântico. Isso significa que uma chave RSA de 2048 bits, que levaria bilhões de anos para ser quebrada cl
Rate limiting é uma técnica de controle de tráfego que limita o número de requisições que um cliente pode fazer a um servidor em um determinado período de tempo. É essencial para segurança porque protege contra ataques de brute force, DDoS e abuso de API.
Path Traversal (ou Directory Traversal) é um tipo de ataque cibernético onde o invasor manipula parâmetros de entrada que definem caminhos de arquivos para acessar diretórios e arquivos restritos no servidor. A técnica explora a falta de validação adequada de entrada do usuário, permitindo que o atacante "escape" do diretório base da aplicação.
Penetration testing (pentest) é a prática de simular ataques cibernéticos contra um sistema para identificar vulnerabilidades exploráveis. Diferente de um vulnerability assessment, que apenas escaneia e lista falhas conhecidas, o pentest busca explorá-las ativamente para provar o impacto real. Já o bug bounty é uma versão crowdsourced, onde pesquisadores externos são recompensados por encontrar bugs.
Em segurança para devs, incidentes são inevitáveis. A diferença entre equipes que evoluem e equipes que estagnam está na forma como lidam com falhas. A cultura da culpa (blame culture) busca responsáveis — e, com isso, incentiva a ocultação de erros, atrasando a correção de vulnerabilidades. Já a cultura de aprendizado (learning culture) pergunta: "o que podemos fazer para que isso não aconteça novamente?"
O OpenID Connect (OIDC) é uma camada de identidade construída sobre o protocolo OAuth 2.0. Enquanto o OAuth 2.0 foi projetado para autorizar o acesso a recursos (permitir que um aplicativo acesse APIs em nome do usuário), o OIDC adiciona autenticação — a capacidade de verificar quem é o usuário.
O Open Web Application Security Project (OWASP) é uma comunidade global sem fins lucrativos dedicada a melhorar a segurança de software. O OWASP Top 10 é um documento de conscientização que representa um consenso sobre os riscos de segurança mais críticos para aplicações web. Para desenvolvedores, conhecer essa lista não é opcional — é uma necessidade fundamental para construir software seguro desde o início.