HOME»情報処理安全確保支援士掲示板»H31春 午後1問2 設問1、2
投稿する
max-ageの事ですよね?
とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。
はい、それはそうですね。しかし、この想像は本問では意味がありません。
HSTSが実装されていないので、メールサービスPのHTTPのFQDNを手入力すると、「確実に」攻撃者が用意したWebサーバにHTTPでアクセスしてしまう
というように、想像を挟まずに確実な推測ができるからです。
»[1107] 平成28年 午後Ⅱ 問2 設問4? 投稿数:4
»[1106] 平成31年度 春期 午後2 問1 設問4(1) 投稿数:5
H31春 午後1問2 設問1、2 [1109]
サワさん(No.1)
公開鍵、秘密鍵のシーケンスについて
調べても仕組みが不明なのですが、オーセンティケータはすべてのユーザーの秘密鍵を持っているのでしょうか?
HSTSについて
「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」
HSTSが実装されていなくても、リダイレクトされる仕様とあるのでHTTPSにリダイレクトされると思いますが、なぜHTTPアクセスになるのでしょうか?
調べても仕組みが不明なのですが、オーセンティケータはすべてのユーザーの秘密鍵を持っているのでしょうか?
HSTSについて
「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」
HSTSが実装されていなくても、リダイレクトされる仕様とあるのでHTTPSにリダイレクトされると思いますが、なぜHTTPアクセスになるのでしょうか?
2023.04.12 08:03
たにとさん(No.2)
○HSTSについて
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。
攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。
攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。
2023.04.12 08:14
サワさん(No.3)
回答ありがとうございます。
それだと、HSTSの有無は関係ない(引っ掛け)という認識でよろしいでしょうか?
それだと、HSTSの有無は関係ない(引っ掛け)という認識でよろしいでしょうか?
2023.04.12 09:57
たにとさん(No.4)
この投稿は投稿者により削除されました。(2023.04.12 11:19)
2023.04.12 11:19
たにとさん(No.5)
この投稿は投稿者により削除されました。(2023.04.12 11:28)
2023.04.12 11:28
たにとさん(No.6)
いいえ、HSTSの有無は関係あります。HSTSが実装されていれば、本問のセキュリティインシデントは発生していません。
仮にメールサービスPにHSTSが実装されていたとします。
PC-Sは、セキュリティインシデント発生前に、メールサービスPの正規のWebサーバにHTTPでアクセスしていると考えられます。
このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。
PC-Sのブラウザはこの通知を覚えておき、SさんがメールサービスPのHTTPのFQDNを手入力したとしても、HTTPSに変換してアクセスします。
この状態でホテルWi-Fiに接続したとします。
SさんがメールサービスPのHTTPのFQDNを手入力すると、ブラウザはHTTPSに変換してアクセスします。
最初からHTTPSで攻撃者が用意したWebサーバにアクセスすることになります。
HTTPSで接続されるので、サーバ証明書の検証が行われ、信頼できない旨のエラーが表示されます。
Sさんはエラーに気づくので、セキュリティインシデントは発生しません。
本問の状況では、本物のサーバにHSTSが実装されておらず、かつ、偽物のサーバにHTTPでアクセスしたことで、HTTP接続のままになっています。
どちらかといえば、HSTSの有無が本問のメインで、リダイレクトの方が引っかけになるかと思います。
仮にメールサービスPにHSTSが実装されていたとします。
PC-Sは、セキュリティインシデント発生前に、メールサービスPの正規のWebサーバにHTTPでアクセスしていると考えられます。
このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。
PC-Sのブラウザはこの通知を覚えておき、SさんがメールサービスPのHTTPのFQDNを手入力したとしても、HTTPSに変換してアクセスします。
この状態でホテルWi-Fiに接続したとします。
SさんがメールサービスPのHTTPのFQDNを手入力すると、ブラウザはHTTPSに変換してアクセスします。
最初からHTTPSで攻撃者が用意したWebサーバにアクセスすることになります。
HTTPSで接続されるので、サーバ証明書の検証が行われ、信頼できない旨のエラーが表示されます。
Sさんはエラーに気づくので、セキュリティインシデントは発生しません。
本問の状況では、本物のサーバにHSTSが実装されておらず、かつ、偽物のサーバにHTTPでアクセスしたことで、HTTP接続のままになっています。
どちらかといえば、HSTSの有無が本問のメインで、リダイレクトの方が引っかけになるかと思います。
2023.04.12 11:28
サワさん(No.7)
>このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。
max-ageの事ですよね?
とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。
2023.04.12 14:29
たにとさん(No.8)
>とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。
はい、それはそうですね。しかし、この想像は本問では意味がありません。
HSTSが実装されていないので、メールサービスPのHTTPのFQDNを手入力すると、「確実に」攻撃者が用意したWebサーバにHTTPでアクセスしてしまう
というように、想像を挟まずに確実な推測ができるからです。
2023.04.12 15:04
その他のスレッド
»[1108] 午後Ⅰ問2 設問2(4) 投稿数:7»[1107] 平成28年 午後Ⅱ 問2 設問4? 投稿数:4
»[1106] 平成31年度 春期 午後2 問1 設問4(1) 投稿数:5