A segurança da informação é um fator a ser considerado por qualquer empresa que tenha ativos importantes e gere valor. Construir aplicações sem observar parâmetros de segurança pode ser um problema na continuidade de negócios à medida que incidentes aparecem. Para isso tem-se vários padrões para uma arquitetura segura que podem limitar ações indevidas como acesso indevido de informações. Dentre eles, pode-se destacar: Simple Access Point, Secure Access Layer, Check Point, Roles, Session, Limited View e Full View With Errors.
O exemplo escolhido para verificação das vantagens e desvantagens dos padrões Limited View e Full View With Errors é o sistema acadêmico adotado por universidades ou escolas de ensino fundamental e/ou médio. Nesse sistema é importante destacar alguns papéis como diretor (a), secretário (a), professor (a), estudante. Dentre algumas funções desses papéis estaria para o diretor cadastrar horários, para a secretária gerenciar matrículas e registro de professores e estudantes, para os professores lançamento de notas e faltas e cadastro de disciplinas, e para o estudante efetuar matrícula e acessar histórico. É fundamental que o sistema responsável por todas essas funções ofereça as diferentes visões para cada papel.
Com o padrão Limited View, o sistema acadêmico oferece para cada papel apenas o que ele tem acesso de acordo com o rol de privilégios. Dessa forma, como vantagem, evita conflito de funções e inconsistência de informações no sistema. Imagine a dificuldade de gerenciamento das informações desse sistema se os estudantes tivesse erroneamente acesso ao lançamento de notas e faltas. Este padrão vem exatamente evitar este tipo de situação: mostrar as funcionalidade conforme o privilégio do usuário. A desvantagem desse padrão se reflete mais para os usuários com poucos privilégios, no sentido de vir a pensar que o sistema é limitado a realização de poucas funções.
Com o padrão Full View With Errors serve para limitar ações do usuário a um sistema de forma que não realize atividades ilegais. Na tentativa de realizar uma ação que não tenha os devidos acessos, será mostrado uma mensagem de erro. Bem útil quando o sistema acessado pelo usuário, oferece diversas funções mas que nem todas estejam disponíveis para ele realizar. Um fator importante a ser observado neste padrão é que quanto mais funções que o sistema tenha que o usuário não possa realizar, mais mensagens de erros devem ser elaboradas como forma de alerta. Dependendo da forma como isso é realizado, pode gerar conflito e desinformação para os usuários.
Nenhum comentário:
Postar um comentário