![[OPERAÇÃO XEQUE-MATE] Preço R$ 54,90 – Cabeçalho](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/03/04163344/operacao-xeque-mate-cabecalho.webp)
A segurança em aplicações web não se limita ao controle de autenticação e autorização. Mesmo quando o acesso está devidamente protegido por tokens ou credenciais, ainda é necessário garantir que a comunicação entre cliente e servidor seja segura e que os dados transmitidos não possam ser interceptados ou alterados.
Nesse contexto, protocolos como HTTPS, mecanismos como CORS e princípios fundamentais da segurança da informação assumem papel central. Esses elementos compõem a base técnica sobre a qual APIs modernas operam de forma segura.
Compreender como esses mecanismos funcionam — e, principalmente, por que são necessários — é essencial tanto para o desenvolvimento profissional quanto para a resolução de questões de concursos públicos.
HTTP e HTTPS: qual a diferença?
O protocolo HTTP (Hypertext Transfer Protocol) é responsável pela comunicação entre cliente e servidor na web. No entanto, em sua forma original, ele não oferece criptografia. Isso significa que os dados trafegam em texto claro, podendo ser interceptados por terceiros.
O HTTPS (Hypertext Transfer Protocol Secure) surge como uma evolução do HTTP, adicionando uma camada de segurança por meio do protocolo TLS (Transport Layer Security). Essa camada garante que as informações transmitidas sejam criptografadas, protegendo dados sensíveis como credenciais, tokens e informações pessoais.
O papel do TLS
O TLS é responsável por três propriedades fundamentais:
- Confidencialidade: impede que terceiros leiam os dados transmitidos.
- Integridade: garante que os dados não sejam alterados durante o trânsito.
- Autenticidade: permite verificar a identidade do servidor por meio de certificados digitais.
Esse conjunto de garantias é o que torna o HTTPS preferível ao HTTP em ambientes modernos.
CORS: controle de acesso entre origens
Outro mecanismo relevante na segurança de APIs é o CORS (Cross-Origin Resource Sharing).
Por padrão, navegadores impõem a chamada Same-Origin Policy, que impede que um script carregado de uma origem acesse recursos de outra origem diferente. O CORS é um mecanismo que permite ao servidor definir, por meio de cabeçalhos HTTP específicos, quais origens estão autorizadas a acessar seus recursos.
Assim, o CORS não é um mecanismo de criptografia, mas sim um controle de política de acesso entre domínios.
Segurança da Informação e o Modelo CIA
Qualquer discussão sobre segurança precisa considerar os três pilares clássicos da segurança da informação, conhecidos como modelo CIA:
- Confidencialidade: Refere-se à proteção contra acesso não autorizado à informação. Em APIs, a confidencialidade é garantida, por exemplo, pelo uso de HTTPS e por mecanismos de autenticação.
- Integridade: Garante que os dados não sejam alterados indevidamente. Protocolos criptográficos, assinaturas digitais e mecanismos de validação contribuem para preservar essa propriedade.
- Disponibilidade: Assegura que os recursos estejam acessíveis quando necessários. Estratégias como balanceamento de carga, redundância e proteção contra ataques de negação de serviço ajudam a manter a disponibilidade.
Esses três elementos orientam a construção de sistemas seguros e são frequentemente cobrados em concursos públicos.
A relação com a OWASP
A OWASP (Open Web Application Security Project) destaca que falhas na implementação desses princípios estão entre as vulnerabilidades mais recorrentes em aplicações web.
Garantir comunicação criptografada, validação adequada de origem e proteção dos dados transmitidos é parte essencial de uma estratégia robusta de segurança.
Vamos ver como isso é cobrado nos concursos?
1. Ano: 2025 Banca: IV – UFG Órgão: Prefeitura de Cidade Ocidental – GO Provas: IV – UFG – 2025 – Prefeitura de Cidade Ocidental – GO – Fonoaudiólogo
Em navegadores modernos, o protocolo HTTPS é preferido ao HTTP porque
- usa compressão de dados para reduzir o tempo de carregamento.
- envia os dados em formato XML, o que aumenta a compatibilidade.
- criptografa a comunicação entre cliente e servidor por meio do TLS.
- exige autenticação biométrica do usuário antes de acessar o site.
Gabarito: C
Comentário:
A – Incorreta.
Compressão de dados não é a principal característica do HTTPS. Embora possa existir compressão em camadas superiores, o diferencial do HTTPS é a segurança.
B – Incorreta.
HTTPS não define o formato dos dados transmitidos. XML, JSON ou outros formatos podem ser utilizados independentemente do protocolo.
C – Correta.
O HTTPS utiliza TLS para criptografar a comunicação, garantindo confidencialidade e integridade dos dados.
D – Incorreta.
HTTPS não exige autenticação biométrica. Ele apenas estabelece uma comunicação segura entre cliente e servidor.
2. Ano: 2024 Banca: EPL Órgão: FHSTE – RS Prova: EPL – 2024 – FHSTE – RS – Analista de Tecnologia da Informação
Ao utilizar a API FETCH do JavaScript, o uso do modo “cors” irá permitir que:
- seja enviado dados em duas URLs distintas ao mesmo tempo.
- o uso do método PUT seja reconhecido pelo servidor.
- a aplicação possa acessar recursos em um local diferente da origem.
- que os dados sejam interpretados pelo servidor como JSON.
Gabarito: C
Comentário:
A – Incorreta.
O modo CORS não permite múltiplas URLs simultaneamente; ele trata de políticas de origem.
B – Incorreta.
O método HTTP independe do modo CORS. O reconhecimento do método é responsabilidade do servidor.
C – Correta.
CORS permite que recursos de origens diferentes sejam acessados quando autorizados pelo servidor.
D – Incorreta.
O formato dos dados (JSON ou outro) não depende do modo CORS.
3. Ano: 2025 Banca: FGV Órgão: DPE-RO Prova: FGV – 2025 – DPE-RO – Analista de Sistemas – Classe B
Segundo a OWASP, os três elementos-chave para uma robusta proteção de dados em aplicações Web são:
- acessibilidade, consistência e durabilidade.
- confidencialidade, integridade e disponibilidade.
- autenticação dupla, integridade e segurança lógica.
- consistência forte, integralidade e segurança virtual.
- criptografia, validação em vários fatores e auditabilidade.
Gabarito: B
Comentário:
A – Incorreta.
Esses termos não correspondem ao modelo clássico de segurança da informação.
B – Correta.
Confidencialidade, integridade e disponibilidade compõem o modelo CIA, amplamente adotado na segurança da informação.
C – Incorreta.
Embora autenticação seja importante, não substitui o modelo CIA.
D – Incorreta.
A alternativa apresenta termos desconexos do modelo teórico consolidado.
E – Incorreta.
Esses mecanismos podem contribuir para segurança, mas não representam os três pilares fundamentais.
Conclusão
A segurança em APIs não depende apenas de autenticação e autorização. Ela começa na comunicação segura, passa pelo controle de acesso entre origens e se fundamenta nos pilares clássicos da segurança da informação.
HTTPS garante confidencialidade e integridade no transporte dos dados. CORS controla o acesso entre diferentes origens. O modelo CIA fornece a base conceitual para avaliar a robustez de qualquer sistema.
Dominar esses fundamentos é essencial para compreender a segurança em aplicações modernas e resolver questões de concurso com segurança conceitual.
Referências Bibliográficas
- STALLINGS, W. Cryptography and Network Security. Pearson.
- OWASP Foundation. OWASP Top 10 Web Application Security Risks.
- RFC 8446. The Transport Layer Security (TLS) Protocol Version 1.3.
- FIELDING, R. Architectural Styles and the Design of Network-Based Software Architectures.
![[OPERAÇÃO XEQUE-MATE] Preço R$ 54,90 – Post](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/03/04164337/operacao-xeque-mate-post.webp)