HOME»情報処理安全確保支援士掲示板»平成31年春 午後Ⅱ 問2 2.(3)
投稿する

平成31年春 午後Ⅱ 問2 2.(3) [1508]

 合格したい男さん(No.1) 
平成31年春 午後Ⅱ 問2 2.(3)で自分の解答「攻撃者が認証サーバXに認証要求を行っても、署名の検証で失敗するから」では、本番で不正解でしょうか?

自分がこの回答を導き出した考え方。
本文の要求2「フィッシングサイト」が、図2と同じように攻撃者によるDNSサーバによって、認証サーバXのFQDNだけど攻撃者の用意したサーバに接続されると思っていました。
Webブラウザ→認証サーバXのFQDNでアクセス(本当は攻撃者の用意したサーバに接続)

そして、利用者は気づかずに偽認証サーバXに利用者IDを入力し、署名等を渡すと考えました。オリジンbも書き換えられ、オリジンsとオリジンbは一致すると思いました。

しかし、最終的に署名の検証で失敗すると考えて、この回答を導き出しました。これではだめでしょうか?
2024.04.08 20:38
pixさん(No.2) 
SC ダイヤモンドマイスター
>「攻撃者が認証サーバXに認証要求を行っても、署名の検証で失敗するから」
前半の『攻撃者が認証サーバXに認証要求を行っても、』と
後半の『署名の検証で失敗するから』に文章として関連性がありません。
もし、後半を『署名の検証で失敗するから』にするのであれば、全体は
「オリジンbを書き換えられても、署名の検証で失敗するから」
になります。

しかし、オリジンに言及するのであれば、
「オリジンbを書き換えられても、署名の検証で失敗するから」という解答は
オリジンbが書き換えられることを前提としており、間接的な表現と捉えられます。

それならば、IPAの正答のように、オリジンの一致の確認の方が直接的な
表現であり、題意に沿っていると想定されます。
2024.04.09 07:37
 合格したい男さん(No.3) 
なるほど、ありがとうございます。
確かに、模範解答の方がどこが失敗の要因か具体的でいいかもしれませんね。
2024.04.09 09:09
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop