HOME»情報処理安全確保支援士掲示板»令和5年 春 問2 設問5 (1)
投稿する
令和5年 春 問2 設問5 (1) [1551]
ぴえん酸さん(No.1)
ここでIPAの正式回答は
「OssリポジトリのファイルZかの変更履歴から削除前のファイルを取得する」となっております。
自分の解答が
「OSSリポジトリの変更履歴をダウンロードしてXトークンの情報を取得する」なのですが、この解答でも問題なく満点を貰えるでしょうか? それとも部分点か×になるのでしょうか?
問題が「第3者がXトークンを取得するための操作を答えよ」なのに、なぜXトークンまでじゃなくてファイルで回答が止まってるのでしょうか?
また、「ソースコードがアップロードされ、承認されると、変更履歴のダウンロードが可能になる」という文章から、自分は変更履歴そのものをダウンロードする 「変更履歴は変更があった部分は、その差異を全て表示するようなイメージがあったので[GITなど]、今回の場合は、アップロードされたファイルZが新規のファイル(最低でもXトークンのヴ部分は新規)なので、ファイルZの中身そのもの(Xトークン)が全て差異として変更履歴に残り、攻撃者がそれをみてXトークンの情報を取得したと思ったのですが、普通、変更履歴というと、そういうものではないという事でしょうか?
IPAが言ってるように、普通の変更履歴だと旧バージョンもダウンロードできるようなものでしょうか? もしかして差異とかも表示されませんか?
「OssリポジトリのファイルZかの変更履歴から削除前のファイルを取得する」となっております。
自分の解答が
「OSSリポジトリの変更履歴をダウンロードしてXトークンの情報を取得する」なのですが、この解答でも問題なく満点を貰えるでしょうか? それとも部分点か×になるのでしょうか?
問題が「第3者がXトークンを取得するための操作を答えよ」なのに、なぜXトークンまでじゃなくてファイルで回答が止まってるのでしょうか?
また、「ソースコードがアップロードされ、承認されると、変更履歴のダウンロードが可能になる」という文章から、自分は変更履歴そのものをダウンロードする 「変更履歴は変更があった部分は、その差異を全て表示するようなイメージがあったので[GITなど]、今回の場合は、アップロードされたファイルZが新規のファイル(最低でもXトークンのヴ部分は新規)なので、ファイルZの中身そのもの(Xトークン)が全て差異として変更履歴に残り、攻撃者がそれをみてXトークンの情報を取得したと思ったのですが、普通、変更履歴というと、そういうものではないという事でしょうか?
IPAが言ってるように、普通の変更履歴だと旧バージョンもダウンロードできるようなものでしょうか? もしかして差異とかも表示されませんか?
2024.04.17 23:19
らいひさん(No.2)
こんにちは。
私は不正解かなと思います。
Xトークンは単体で存在せず、ファイルZの情報として存在しているものだと認識しています。
ちなみに、変更履歴はGitは未経験なので不明ですが、
あるファイルを変更した履歴がズラっと並んでいるようなイメージで、各段階のファイルがダウンロードできるものでしょう。
また、変更履歴を取得するのではなく、あくまでもファイルZの変更履歴から削除前のファイルZを取得するのです。
私は不正解かなと思います。
>「OSSリポジトリの変更履歴をダウンロードしてXトークンの情報を取得する」
Xトークンは単体で存在せず、ファイルZの情報として存在しているものだと認識しています。
ちなみに、変更履歴はGitは未経験なので不明ですが、
あるファイルを変更した履歴がズラっと並んでいるようなイメージで、各段階のファイルがダウンロードできるものでしょう。
また、変更履歴を取得するのではなく、あくまでもファイルZの変更履歴から削除前のファイルZを取得するのです。
2024.04.20 12:40