SUMRIO

1 INTRODUO

2 OBJETIVO 4
3 DESENVOLVIMENTO

3.1 INJEO DE SQL

3.2 CROSS-SITE SCRIPTING (XSS)

3.3 OUTROS ATAQUES (DDOS) 6

3.4 SOLUO

3.5 MODELO RELACIONAL NORMALIZADO 6

4 CONCLUSO

REFERNCIAS

10

ANEXOS

11

Diagramas

11

Web Site

12

1 INTRODUO
O trabalho a seguir prope entender um sistema em diagrama em
UML (Modelo de Linguagem Unificado) e sua aplicao Web em PHP (Personal
Home Page ou Pagina Pessoal) para alugar Filmes, e a importncia de ter um bom
sistema com segurana e desempenho, aqui denominado "Estudo de Caso Telecine Mozer".
Primeiramente um sistema seja ele off-line, ou on-line e jogos e seus
servidores assim como tambm sistemas WEP (Sites) todos precisam de um SGDB.
O que um SGDB, um Banco de Dados ou Base de Dados (BD)
uma coleo de dados relacionados entre si. Sua Propriedades bsicas so
Representar algum aspecto do mundo real, Coleo logicamente coerente de dados
com um significado inerente e Projetado, construdo e preenchido com dados para
um propsito especfico.
Com isso podemos cria um Software seja ele um Programa, um jogo
ou ate mesmo um site. Assim sendo devemos conhecer e utilizar o Processo de
Desenvolvimento, para adquirir, Qualidade, Desempenho, Eficincia, Facilidade de
uso e principalmente Segurana. Para isso deve seguir um modelo de processo de
software e desenvolver nos mnimos detalhes e com muita ateno para os quesitos
acima.
"Segundo Pressman (2006), [um modelo de] processo de software
pode ser visto como um roteiro que deve ser seguido para criar um software de alta
qualidade em um tempo determinado. Tal modelo de processo , portanto, uma
representao abstrata de um processo de software (SOMMERVILLE, 2005), e
precisa ser ajustado s necessidades especficas e concretas do processo de
software de cada organizao em particular, bem como s caractersticas especficas do software que deve ser desenvolvido, usualmente no contexto de um
projeto, com prazo e custos limitados".
E tambm no devemos esquecer da UML e os Diagramas de
Estudo de caso. "Cada Use Case composto pelo diagrama de arquitetura de
componentes onde h descrio de cada componente, assim como outro diagrama
contendo o fluxo do processo relacionado com a segurana do software".

2 OBJETIVO
Com o intuito de elaborar este trabalho para a UNOPAR na EAD
(Ensino a Distncia) e os professores do 4 Semestre de 2014 para o Curso Superior
de Tecnologia em Anlise e Desenvolvimento de Sistemas. O Aluno dera aprofundar
seus conhecimentos adquiridos ate o presente momento, e tambm pesquisar um
pouco alem para concluso do mesmo.
Tendo o eixo temtico sobre o "Estudo de caso - Telecine Mozer"
para anlise de implantao e ou melhoria em um site na linguagem conhecida
como PHP e ou Sistema programado em C# (Sharp).
Assim, o aluno far sua pesquisa necessria para com o trabalho e
abortar os pontos mais importantes: Segurana no Desenvolvimento de Aplicaes
WEB, Diagrama de Atividades (UML) e Normalizao do Diagrama de Entidade e
Relacionamento.

3 DESENVOLVIMENTO
Os investimentos na rea de segurana passaram a ser o maior
quesito nos ltimos anos, pelas empresas. Por mais que um sistema seja sem por
cento seguro, de alguma forma ele ser invadido ou haver um erro em um
determinado momento.
vejamos alguns erros e vulnerabilidades comuns, erros casuais
cometido acidentalmente por um operador humano ou erros na programao, sendo
estes intencionais ou inconsciente. Ou na pior das hiptese
Hacker, essas vulnerabilidades podem e iram levar

como ataques por

a divulgao indevida de

informao e perda de integridade, resultando em pontos negativos para a empresa

e ao Sistema (Software).
Para o "TelecineMozer" temos a interface do usurio que interage
com o sistema e o SGDB, onde se houver vulnerabilidades o usurio (Hacker)
poder se beneficiar de alguma forma com isso.
Para evitar isso deve se fazer mais cdigos para esses possveis
erros, ou seja deve-se ter um cdigo bem tratado. Vejamos agora alguns tipos de
ataques muito usados dos quais deve ser tratados para evitar os ataques.
3.1 INJEO DE SQL
Injeo de SQL este um ataque enviando um simples texto em
SQL que explora o Banco de Dados.
Impactando prejuzo que pode ser muito grave. Um exemplo de
sintaxe em aplicao Web usando o navegador web por meio de consulta QUERY
como esta String consulta_sql = "SELECT * FROM conta WHERE nome='" +
request.getParameter("nome") +"'";
Desta forma o servidor retorna informaes indevidas para o
usurio. No pior cenrio acabaria tendo acesso a senha e a informaes pessoais.

3.2 CROSS-SITE SCRIPTING (XSS)

XSS, cross-site scripting, um dos ataques mais usados e perigosos
em aplicaes web. Basicamente um ataque onde o usurio legitimo clica para
enviar informaes para o servidor web e entra sem nem um problema e no
percebe nada.
Pois o usurio legitimo estava em uma pagina com o Script
Malicioso contido na pagina em que o usurio quer acessar. Assim o Hacker recebe
as informaes como Cookies, Sesso, dados de formulrios e senhas, etc.
Para prevenir este tipo de ataque deve ser usado navegadores com
poltica de preveno a ataques de XSS e retirar todos os dados no confiveis
baseado no contexto do HTML e validao de entrada.
3.3 OUTROS ATAQUES (DDOS)
Alem desses ataques o Servidor e o prprio site devem ter algumas
funes ou programas para evitar os ataques, e venerabilidades como Firewall, e um
poderoso Anti DDOS e Anti Vrus.
Ataques DDOS nada mais que negao de servio, muito usado
para "derruba" sites, fazendo com que estes fique fora do ar por algumas horas onde
o usurio no conseguira acessar.

3.4 SOLUO
Pensando nisso para nosso "estudo de caso Telecine Mozer", temos
de utilizar preveno para estes tipos de ataques acima informados:

Controlando o usurio de no usar comando SQL (Anti SQL

Injection).

Quebra

de

autenticao

gerenciamento

de

sesso

(SESSION) - fazendo o verificao do usurio e aps um

certo tempo inativo no site destruir sua sesso.

Privilgios de acesso (nveis), para determinar quem pode

fazer o que como acessar certas paginas, etc.

Restrio na URL, endereo digitado direto no browser, para

evitar de o usurio acessar uma determinada pagina que no
tem o direito.

Validar ou recusar redirecionamentos e formulrios pelo

usurio e no servidor que for solicitados.

Veja em anexos a Figura 1 - Diagrama de Atividade. No diagrama

mostra a interao, a relao, o fluxo de dados entre o Usurio (cliente) e o Servidor.
Este diagrama de atividades ou Modelo Relacional Normalizado
utilizado para modelar um banco de dados nas aplicaes de programao. Serve
para verificar se regras e tabelas de um Banco de Dados esto corretos evitando
problemas com insero, eliminao e atualizao de dados.

3.5 MODELO RELACIONAL NORMALIZADO

So as FN (Formas Normais), onde temos inicialmente a primeira
Forma Normal (1FN), Segunda Forma Normal (2FN) e a Terceira Forma Normal
(3FN), Etc.
Aps algum tempo foi necessrio a elaborao de uma quarta FN
porem esta deveria ser a Terceira. Onde esta corrige a estruturao de um banco de
dados. Sendo assim temos o seguinte:

Primeira Forma Normal ou 1FN;

Segunda Forma Normal ou 2FN;

Terceira Forma Normal ou 3FN;

Forma Normal Boyce-Codd ou FNBC ou BCNF;

Quarta Forma Normal ou 4FN;

Quinta Forma Normal ou 4FN;

No pode pular nem uma das FN, devendo sempre comear da

Primeira para a prxima. "No tem como fazer errada a Primeira ou a Segunda e
acertar na prxima".

CONCLUSO
O maior problema das empresas e o maior desafio dos programadores
controlar o acesso as informaes pessoas dos usurios ou da empresa. Como foi
visto existe mais brechas, falhas ou seja vulnerabilidades em sistemas WEB (online) do que em programas (off-line).
Desta forma um sistema deve ser totalmente seguro, deve sempre
verificar possveis falhas e testar, antes de entregar ao cliente final. Assim por sua
vez ocorre de muitas vezes projetos serem entregues depois do prazo de entrega.
Com isso foi observado a necessidade de seguir as Formas Normais,
seguir um Modelo de processo de Software e ter seu cdigo bem tratado
(incrementado), pois segurana tudo, ningum quer sua senha ou seu endereo
disponvel para qual quer pessoa, muito menos para um inimigo ou concorrente.
Neste projeto "Estudo de Caso - TelecineMozer" pode ser montado
seguindo as mais recentes formas de segurana informados anteriormente, como
por exemplo o Anti DDOS ou Anti SQL Injection.
Veja em anexos Figura 2 - Classe de Diagrama, onde mostra as
informaes do banco de dados, as aes do usurio e a cardinalidade para o site.
E na Figura 3 - Web Site TelecineMozer, um exemplo da tela do visitante com um
formulrio para login do cliente.
A ideia do site que qual quer visitante assim que acessar o site
pode fazer um cadastro, fazer o login, escolher o filme e assistir, mas este deve ter o
pagamento em dia, caso contrario poder imprimir o boleto e voltar a ver os filmes.
E se por ventura o filme no estiver disponvel, o sistema sugere
outras opes, de mesmo gnero. Alem disso o Diretor pode gerenciar as
mensalidades e os Clientes.

10

REFERNCIAS
BANCO DE DADOS. Disponvel em:
<https://intranet.ifs.ifsuldeminas.edu.br/~fatima.bueno/Banco%20de
%20Dados/Apostila%20Banco%20de%20Dados.pdf>. Acesso em: 23 Outubro.
2014.
Conhea um pouco sobre o MySQL. Oficina da Net. Disponvel em:
<http://www.oficinadanet.com.br/artigo/390/conheca_um_pouco_sobre_o_mysql>.
Acesso em: 14 Outubro. 2014.
DIAGRAMA DE ATIVIDADES UML. Disponvel em: <http://msdn.microsoft.com/ptbr/library/dd409360.aspx>. Acesso em: 18 Outubro. 2014.
MODELO RELACIONAL NORMALIZAO. Disponvel em:
<http://www.estgv.ipv.pt/paginaspessoais/steven/Disciplinas/II2/Bibliografia/Sebenta/s
eb_cap5_1.pdf>. Acesso em: 18 Outubro. 2014.
FURTADO, Gustavo. O que um SGBD. Dicas de Programao. Disponvel em:
<http://www.dicasdeprogramacao.com.br/o-que-e-um-sgbd/>. Acesso em: 13
Outubro. 2014.
SEGURANA NO DESENVOLVIMENTO DE APLICAES. Disponvel em:
<http://www.cic.unb.br/~jhcf/MyBooks/cegsic/2009_2011/GSIC701_Seguranca_Dese
nvolvimento_Aplicacoes.pdf>. Acesso em: 16 Outubro. 2014.
SEGURANA EM APLICAOES WEB. Disponvel em:
<http://www.cic.unb.br/~jhcf/MyBooks/cegsic/2009_2011/GSIC701_Seguranca_Dese
nvolvimento_Aplicacoes.pdf>. Acesso em: 16 Outubro. 2014.

11

ANEXOS
Diagramas.
Segue abaixo diagrama de atividade para o "TelecineMozer".

Figura 1 - Diagrama de Atividade.

12

Segue abaixo diagrama de classe para o site (Banco de Dados,

Aes e Cardinalidade).

Figura 2 - Diagrama de Classe

Web Site.
Segue abaixo a tela do site "TelecineMozer" com o prompt de login.