HOME»情報処理安全確保支援士掲示板»H31春  午後1問2  設問2(1)
投稿する

H31春  午後1問2  設問2(1) [0386]

 午後Ⅱでハズレ引きさん(No.1) 
IPA解答「認証サーバXでオリジンbとオリジンsの一致を確認しているから」とありますが、理解できません。
図6において、真ん中のWebブラウザがフィッシングサイトだと想定、Iした場合、認証サーバXに渡す情報は
・IDc, H(ドメイン), 著名M  →  オーセンティケータから中継する
・乱数c'  →  すでに認証サーバから渡されている
・オリジンb  →  本物のサイトと同じものを用意するに決まっている

認証サーバに渡す全てのパラメータが揃っているので、中間者攻撃は可能と思われるのですが間違っていますか?






2019.09.24 00:11
 午後Ⅱでハズレ引きさん(No.2) 
申し訳ありません。設問2(3)です
2019.09.24 00:13
rm -rf /さん(No.3) 
図6最後、署名Mを複合(検証)するための認証サーバの公開鍵Kを
攻撃者は入手出来ていないので、認証サーバXで一致を確認できればよいのではないでしょうか。
2019.09.29 17:46
クリーパーさん(No.4) 
認証サーバはHTTPS、偽サーバは証明書のチェックをされないようHTTP
この違いからオリジン不一致となるようです。

難しすぎます。
私は本番で解けませんでした^^;
2019.10.08 16:13
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop