SERVIDOR UD4

¿Cal é o uso máis típico das cookies, segundo o material?. A) Almacenar o identificador de sesión (SID) no servidor. B) Almacenar arrays complexos de datos non cifrados. C) Crear copias de seguridade e restauralas no navegador. D) Almacenar as preferencias do usuario, como o idioma en que se deben mostrar as páxinas.

*2. ¿Que indica o estándar RFC6265 respecto ao almacenamento de cookies nun navegador?*. A) Que o navegador debe soportar polo menos 500 cookies de 4 Kbytes cada unha. B) Que se espera que un navegador sexa capaz de almacenar polo menos 3000 cookies de 4 Kbytes cada unha e polo menos 50 cookies por servidor ou dominio. C) Que non se permite almacenar máis de 4 Kbytes de información por dominio. D) Que todas as cookies deben ser persistentes.

*3. ¿Que é a principal característica que define unha "cookie de terceiros" (third-party cookie)?*. A) Unha cookie que foi borrada polo usuario. B) Unha cookie que almacena o SID. C) Aquela engadida por sitios web que inclúen publicidade e que poden recoller a información daqueles sitios web visitados sempre que tamén conteñan a súa publicidade. D) Unha cookie que só se transmite por conexións HTTPS.

*4. ¿Como se realiza a transmisión das cookies nas comunicacións HTTP?*. A) Mediante o corpo da mensaxe de petición. B) Mediante un parámetro GET na URL. C) Empregando encabezados HTTP específicos, como "Set-Cookie" nas mensaxes de resposta e "Cookie" nas mensaxes de petición. D) Ningunha é correcta.

*5. ¿Cal é o único parámetro obrigatorio que se debe usar na función setcookie en PHP?*. A) O valor da cookie. B) A data de caducidade. C) O dominio. D) O nome da cookie.

*6. Se non se especifica unha data de caducidade para unha cookie, ¿cando se elimina?*. A) Despois de 1440 segundos (24 minutos). B) Cando o servidor web destrúe a sesión. C) Cando o usuario pecha o navegador (ao "final da sesión"). D) Cando o navegador detecta inactividade do usuario. E) N.

*7. ¿Que caracteres NON pode conter o nome dunha cookie en PHP cando se usa setcookie?*. A) Letras e números. B) Coma (","), punto e coma (";"), espazo (" ") e o signo igual ("="). C) Guión baixo ("\_") e punto ("."). D) O signo máis ("+"). E) I.

*8. ¿Como se forza o borrado dunha cookie persistente antes de que expire?*. A) Empregando a función session_destroy(). B) Simplemente baleirando o valor da cookie. C) Reescribindo a mesma cookie cun tempo de vida que sinale ao pasado. D) Todas son incorrectas. E) G.

*9. Se se usa a notación típica dos arrays ao usar setcookie (ex: setcookie('usuario[nome]', 'Brais')), ¿que sucede cando se recuperan as cookies?*. A) As cookies almacénanse serializadas. B) O navegador devolve un erro 404. C) As cookies convértense nun array cos seus valores como membros dentro da superglobal $_COOKIE. D) Só se almacena o último membro do array. E) G.

*10. ¿Que se require para que unha cookie só se envíe se se detecta unha conexión segura (https)?*. A) Que o parámetro httponly estea a true. B) Que a directiva session.cookie_secure estea a false. C) Asignarlle valor true ao parámetro secure da función setcookie. D) Que a data de caducidade sexa 0. E) E.

*11. ¿Que indica un prefixo de hash $1$ cando se ve nunha base de datos de contrasinais?*. A) Que se utilizou o algoritmo Blowfish/Bcrypt. B) Que se utilizou o algoritmo SHA-512. C) Que se utilizou MD5, e considérase inseguro e obsoleto. D) Que se utilizou Argon2. E) R.

*12. ¿Que é a información que se almacena na sesión dun usuario coñecida tamén como?*. A) Cookies persistentes. B) Variables de entorno. C) Cookies do lado do servidor (server side cookies). D) Tokens de acceso.

*13. No contexto do protocolo HTTP sen estado (stateless), ¿que debe facer o usuario en cada petición para que o servidor recupere a súa información de sesión?*. A) Recalcular o hash do seu contrasinal. B) Enviar o seu Identificador de Sesión (SID) ao servidor. C) Pechar e abrir o navegador para forzar a eliminación das cookies. D) Chamarse á función session_encode() automaticamente.

*14. ¿Cal é o método máis utilizado e máis seguro para manter o Identificador de Sesión (SID) entre as páxinas dun sitio web?*. A) Propagando o SID como parámetro da URL. B) Utilizando cookies (e preferiblemente utilizando HTTPS para encriptar a información). C) Almacenando o SID directamente na base de datos do cliente. D) Utilizando un ID Token JWT.

*15. ¿Que directiva de sesións en PHP debe activarse (= 1) para indicar que non se recoñezan os SIDs que se poidan pasar como parte da URL (e evitar así a usurpación)?*. A) session.use_cookies. B) session.use_trans_sid. C) session.use_only_cookies. D) session.save_handler.

*16. ¿Que indica a directiva de PHP session.cookie_lifetime cando ten o seu valor por defecto de 0?*. A) Que a cookie expirará en 24 minutos. B) Que a cookie manterase ata que se peche o navegador. C) Que non se poden usar cookies para o SID. D) Que se debe usar HTTPS obrigatoriamente.

*17. ¿Que significa o valor por defecto de 1440 segundos na directiva session.gc_maxlifetime?*. A) Que a cookie expirará aos 24 minutos. B) Que o servidor ten un tempo límite para iniciar o recolector de lixo. C) Que pasados 24 minutos dende a última actividade, os datos da sesión poden pasar ao recolleitor de lixo (GC) dependendo da configuración e estado do servidor. D) Que a sesión debe reiniciarse cada 1440 segundos.

*18. Para iniciar unha sesión ou restaurar unha anterior, ¿que debe ter presente o programador cando chama á función session_start?*. A) Que debe usarse HTTPS. B) Que é necesario usar session_encode(). C) Que a chamada debe facerse antes de que a páxina web mostre información no navegador (do mesmo xeito que con setcookie). D) Que a directiva session.auto_start debe estar a 1.

*19. ¿Que función elimina completamente a información da sesión do dispositivo de almacenamento no servidor?*. A) session_unset(). B) session_encode(). C) session_destroy(). D) session_regenerate_id().

*20. ¿Que función de PHP permite obter a información da sesión codificada nunha cadea de texto, útil para gardala nun ficheiro ou base de datos e recuperala máis adiante?*. A) session_decode(). B) password_hash(). C) session_encode(). D) hash_hmac().

*21. ¿Que método de ataque se caracteriza por conseguir que o usuario se loguee cun identificador de sesión que o atacante xa coñece?*. A) Secuestro da sesión. B) Ataque XSS. C) Ataque de táboa Rainbow. D) Fixación da sesión.

D) *Fixación da sesión*. A) Un algoritmo de hash lento. B) Unha función en PHP para cifrar datos. C) Unha directiva de configuración de sesións. D) Un dato que se utiliza durante o proceso de hash para eliminar a posibilidade de que o resultado poida buscarse en táboas "rainbow".

*23. ¿Que se debe facer co contrasinal dun novo usuario antes de almacenalo na aplicación web?*. A) Debe ser cifrado co algoritmo MD5. B) Debe ser almacenado directamente nun ficheiro de texto plano. C) Debe pasarse por unha función hash (como password_hash()) xunto cun salt. D) Debe ser serializado usando session_encode().

*24. ¿Cal é a función recomendada en PHP para verificar que un contrasinal ingresado polo usuario é correcto en comparación co hash almacenado?*. A) hash_verify(). B) crypt(). C) password_verify(). D) session_decode().

*25. Para establecer un tempo límite de inactividade para a sesión, ¿que estratexia se recomenda?*. A) Limitar o tempo de caducidade do token de acceso de GitHub. B) Modificar a directiva session.gc_maxlifetime a 1. C) Gardar na sesión o instante da última acción e anular a sesión se o tempo transcorrido é maior que o límite establecido. D) Todas son correctas.

*26. Para manter unha sesión aberta despois de que o usuario peche o seu navegador sen cambiar a configuración global de PHP, ¿que elemento se garda no navegador?*. A) O PHPSESSID cun tempo de vida 0. B) Un ID Token asinado por GitHub. C) Cookies propias da aplicación web con algunha información que permita identificalo (nome/id e un hash calculado con salt). D) O array superglobal $_SESSION.

*27. ¿Que se debe incluír no hash que se garda na cookie de persistencia para protexer o usuario contra o roubo de sesión mediante a simple manipulación da cookie?*. A) Só o nome do usuario. B) Só o contrasinal en texto plano. C) Cando menos, o nome/id do usuario e un salt, e opcionalmente o enderezo IP e o axente de usuario. D) O número de visitas á páxina.

*28. ¿Cal é a función que se debe usar de cando en vez para cambiar o ID da sesión de forma transparente aos usuarios activos, invalidando o identificador anterior?*. A) session_destroy(). B) session_unset(). C) session_set_cookie_params(). D) session_regenerate_id().

*29. ¿Cal é o principal problema de seguridade asociado á propagación do SID como parte da URL?*. A) O protocolo HTTP é lento. B) O servidor non pode acceder aos datos. C) O SID pode ser visible na barra de enderezos do navegador ou ao compartir a URL, facilitando o roubo do SID. D) O SID non pode ser xerado en PHP.

*30. ¿Que capa de identidade se constrúe sobre OAuth 2.0 e introduce o concepto de ID Token (Token de identidade)?*. A) SHA-512. B) HTTPS. C) OpenID Connect (OIDC). D) O framework Laravel.

*31. ¿Cal é o obxectivo principal de OAuth 2.0?*. A) Responder á pregunta: "Quen é o usuario que iniciou sesión?". B) Permitir que unha aplicación (cliente) obteña acceso limitado aos recursos dun usuario (autorización). C) Almacenar contrasinais de forma segura usando Bcrypt. D) Todas son incorrectas.

*32. No fluxo de autenticación delegada (Authorization Code Flow), ¿que é o redirect_uri (ou callback)?*. A) O enderezo da API de GitHub. B) O ficheiro .env onde están gardadas as claves secretas. C) O token de estado e seguridade (state). D) O enderezo exacto ao que o provedor debe redirixir o navegador unha vez finalizado o proceso de autenticación, portando consigo o código de autorización.

*33. Durante o proceso de Intercambio (Fase 4: Back-channel), ¿que clave da aplicación nunca toca o navegador do usuario e se usa para obter o Access Token?*. A) O Código de Autorización. B) O client_id. C) O state token. D) O client_secret.

*34. ¿Cal é a función que se recomenda usar en PHP para asinar cookies, tokens ou comunicacións entre servidores, garantindo a súa autenticidade mediante unha clave secreta?*. A) password_hash(). B) md5(). C) hash_hmac(). D) sha1().

*35. ¿Cal das seguintes funcións ou extensións de PHP se considera insegura para gardar contrasinais e por que?*. A) password_hash(), porque é demasiado lento. B) md5() ou sha1(), porque son algoritmos rápidos e vulnerables a ataques de forza bruta. C) hash_hmac(), porque non usa salt. D) openssl_encrypt(), porque está obsoleto.

*36. ¿Que indica o prefixo do hash $2y$?*. MD5. B) SHA-512. C) Argon2. D) Blowfish / Bcrypt, sendo o estándar actual para este algoritmo en PHP.

*37. Se PHP foi compilado con soporte para Argon2, ¿como comezan os seus hashes, sendo este o algoritmo máis recomendado hoxe en día pola súa resistencia a ataques por GPU?*. A) $5$. B) $6$. C) $2y$. D) $argon2i$ e $argon2id$.

*38. ¿Que directiva de configuración de sesións en PHP, declarada obsoleta en PHP 8.0, facía que a sesión comezase automaticamente ao conectarse un usuario?*. A) session.use_cookies. B) session.cookie_secure. C) session.auto_start. D) session.name.

*39. ¿Cando se debe utilizar a función session_regenerate_id(true) no contexto da autenticación delegada?*. A) Cando o usuario pecha a sesión manualmente. B) Cando o servidor detecta un erro 403. C) Despois de obter o Access Token e xusto antes de gardar os datos do usuario na sesión, para evitar ataques de Session Fixation. D) Cando o client_secret caduca.

*40. ¿Que afirmacións sobre a seguridade das cookies é correcta?*. A) As cookies non son perigosas por si mesmas, pero algúns sitios web empréganas para rastrexar a navegación dos usuarios. B) Se unha aplicación web se ve comprometida, o hacker non pode facer operacións non autorizadas (como "borrar repositorios" de GitHub) se o token de acceso só tiña un scope limitado (como "ler email"). C) Se unha base de datos é hackeada, non haberá contrasinais que roubar se se usa autenticación delegada. D) Todas son correctas.