Bem-vindo nobody( Fazer Log-out )Feedback
Mostrar TudoSegurançaContas do Application ExpressTimeout da SessãoRuntime Apenas de InstalaçãoCodificação Segura

Segurança

O Oracle Application Express oferece vários recursos de segurança para reforçar a segurança no desenvolvimento de aplicações e no runtime. Os administradores podem configurar tanto a instância como as aplicações relacionadas do Application Express para exigir o protocolo HTTPS, que utiliza a SSL (Secure Socket Layer). Eles também podem definir regras de complexidade de senha e políticas de reutilização.

Os desenvolvedores de aplicações podem ativar a Proteção do Estado da Sessão que incorpora as checksums dentro do URL para evitar violação e acesso não autorizado. Eles também podem garantir que somente os dados necessários sejam salvos no estado da sessão e, sempre que as informações forem confidenciais (por exemplo, SSN), o valor pode ser criptografado, de forma que não possa ser lido de fora da aplicação.

A autenticação é usada para determinar se um usuário pode acessar uma aplicação. A menos que uma aplicação seja pública, onde nenhuma autenticação é necessária, os usuários finais devem especificar um nome do usuário e senha para obter acesso. OI Oracle Application Express fornecem vários esquemas de autenticação incorporados incluindo:

  • Usuários Gerenciados pelo Oracle Application Express
  • Sign-on Único
  • Credenciais da Conta do Banco de Dados
  • Esquemas personalizados

Esquemas personalizados também podem ser usados com interface com qualquer service de autenticação, inclusive Microsoft Active Directory e Aplicativos Oracle.

Os esquemas de autorização são usados no Application Express para controlar a conversão e processamento de componentes com base nos privilégios do usuário. Você pode aplicar autorização a uma aplicação completa ou seletivamente em páginas ou componentes de página, como guias, regiões, botões, itens, validações, processos e assim por diante. Os esquemas de autorização são bem-sucedidos ou malsucedidos. Somente se o esquema de autorização associado for bem-sucedido o usuário poder visualizar ou usar o componente.

Contas do Application Express

 Superior

Os administradores do espaço de trabalho podem criar novas contas de usuário, gerenciar as contas de usuário existentes e alterar as senhas dos usuários. As contas de usuário podem ser administradores, desenvolvedores ou usuários finais do espaço de trabalho. Os privilégios de desenvolvimento são definidos usando as contas de usuário do Oracle Application Express; no entanto, as aplicações do Oracle Application Express podem ser executadas usando métodos de autenticação externos. As contas de usuário do Oracle Application Express podem ser bloqueadas além de suportar expiração e complexidade de senha e também outras regras.

Timeout da Sessão

 Superior

Os Administradores da Instância podem definir a duração máxima da sessão e o tempo máximo de inatividade para desenvolvedores do Application Express. Da mesma forma, os desenvolvedores podem definir o tamanho máximo da sessão e o tempo de inatividade para cada aplicação que modera o acesso pelos usuários finais.

Runtime Apenas de Instalação

 Superior

Para instâncias de teste e produção, o Oracle Application Express suporta a capacidade de instalar apenas uma versão de runtime. Isso minimiza o footprint e os privilégios instalados. Isso também fornece sua consistência de aplicação porque em uma instância da aplicação, os desenvolvedores não podem atualizar inadvertidamente qualquer origem da aplicação.

Codificação Segura

 Superior
Script entre Sites

O script entre sites (também chamado XSS) é uma violação de segurança que tem a vantagem de páginas Web geradas dinamicamente. Em um ataque de XSS, a aplicação Web é enviada a um script que é ativado quando é lido por um browser do usuário. Depois de ativados, estes scripts podem roubar dados mesmo credenciais da sessão e retornar as informações para o invasor. Se o código malicioso for introduzido na aplicação Oracle Application Express, ele pode ser convertido em regiões HTML e outros locais dentro da aplicação durante a conversão normal de páginas. Consulte a ajuda on-line, para obter mais informações sobre as vulnerabilidades potenciais e práticas de codificação seguras para minimizar tais riscos.

Injeção SQL

A Injeção SQL permite que a entrada de uma aplicação flua para a instrução SQL, permitindo assim a alteração da instrução SQL. Um método muito efetivo para garantir que as instruções SQL são protegidas da injeção SQL é usar variáveis de bind. O Oracle Application Express suporta o uso de variáveis de bind em todas as instruções SQL e PL/SQL. Para criar uma aplicação segura todos SQLs dinâmicos precisam garantir que nenhuma entrada do usuário final pode ser injetada na instrução SQL.

Protegendo o Estado da Sessão

A Proteção do Estado da Sessão é uma funcionalidade incorporada que impede que os hackers violem os URLs dentro de sua aplicação. A violação do URL pode afetar de forma adversa a lógica do programa, conteúdo do estado da sessão e privacidade de informações. A ativação da Proteção do Estado da Sessão é um processo de duas etapas. Primeiro, você ativa o recurso. Depois você define a página e os atributos de segurança do item.