Julgue os itens subsecutivos, relativos aos protocolos HTTPS e SSL/TLS.

O handshake TLS é mais lento e complexo que o handshake SSL, que, por sua vez, possui menos etapas, estabelecendo uma conexão mais rápida que aquele.

De acordo com a NBR ISO/IEC 27005, um propósito viável para a gestão de riscos de segurança da informação é definir a execução de políticas e procedimentos, incluindo-se a implementação dos controles selecionados.

Um certificado digital X.509 pode ser considerado confiável para estabelecer a identidade de uma entidade se o campo CN (common name) contiver o nome correto da entidade, pois o CN é suficiente para validar a autenticidade do certificado.

A implantação de criptografia ponta a ponta nas comunicações elimina a necessidade de monitoramento ativo da rede para a detecção de atividades suspeitas relacionadas a ataques de eavesdropping.

Na análise de vulnerabilidades em aplicações web, a determinação precisa do tipo de servidor web em que um aplicativo é executado viabiliza que testadores de segurança verifiquem se o aplicativo é vulnerável, identificando, por exemplo, servidores que executem versões mais antigas de software suscetíveis a exploits conhecidos.

Na execução de uma aplicação web, a possibilidade de um usuário não autenticado agir como um usuário autenticado ou de um usuário comum autenticado agir como um administrador representa falha de segurança de elevação de privilégios relacionada ao controle de acesso da aplicação.

Em um sistema de comunicação em rede, a criptografia assimétrica, como o RSA, pode ser usada para proteger o processo de troca de uma chave secreta entre duas partes; após o compartilhamento seguro dessa chave, um algoritmo de criptografia simétrica, como o AES, pode ser utilizado para proteger a transmissão de grandes volumes de dados, devido à sua maior eficiência em comparação aos algoritmos assimétricos para esse tipo de tarefa.

Conforme a NBR ISO/IEC 27002, a organização está isenta de responsabilidade legal ou contratual quando componentes defeituosos ou vulneráveis da infraestrutura de TIC de um fornecedor causarem violações de segurança de dados compartilhados da organização ou de terceiros, desde que haja acordo de confidencialidade assinado entre a organização e o fornecedor.

De acordo com a NBR ISO/IEC 27001, ao estabelecer o programa de auditoria interna, a organização deve desconsiderar resultados de auditorias anteriores para minimizar possíveis vieses, e sortear os auditores encarregados entre aqueles capacitados, de modo a evitar influências políticas no processo da auditoria interna.

Um ataque do tipo cross-site request forgery tem como alvo funcionalidades que causem mudanças de estado no servidor de uma aplicação autenticada, como, por exemplo, alteração do endereço de e-mail ou da senha da vítima, ou realização de compras em nome da vítima.