HOME»情報処理安全確保支援士掲示板»平成31年度 春期 午後1 問2 No.1(3)
投稿する
平成31年度 春期 午後1 問2 No.1(3) [1094]
ゆきさん(No.1)
「HTTPで接続が開始されたから」という解答が模範解答ですが、問題文に「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」という記載があります。HTTP接続を試みる→HTTP over TLSのURLへリダイレクト→HTTPS通信となるためサーバ証明書の検証作業が発生すると考えたのですが、そうではないのでしょうか。
2023.04.09 13:01
たにとさん(No.2)
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。
攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。このため、HTTPS通信にならず、証明書の検証もされません。
攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。このため、HTTPS通信にならず、証明書の検証もされません。
2023.04.09 14:42
ゆきさん(No.3)
たにとさんありがとうございます。
攻撃者のサイトにはHTTPSへリダイレクトする機能が存在しないから、証明書の検証がなされなかったのですね。
ありがとうございます
攻撃者のサイトにはHTTPSへリダイレクトする機能が存在しないから、証明書の検証がなされなかったのですね。
ありがとうございます
2023.04.09 14:55