HOME»情報処理安全確保支援士掲示板»平成31年春午後1問2
投稿する
»[1786] 経済産業省の11月の登録セキスペの見直しに関する資料 投稿数:11
»[1785] 令和4年春午後2問1設問6(4) 投稿数:3
平成31年春午後1問2 [1788]
支援士さん(No.1)
問題文
「②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサービスPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ。」
模範解答は「HTTPで接続が開始されたから」
状況として、SさんはメールサービスPではなく、攻撃者が用意したWebサーバにHTTPでアクセスしたため、サーバ証明書の検証が行われなかったということだと思いますが、この回答のどの部分が「メールサービスPにHSTSが実装されていないことを踏まえ」た回答になっているのでしょうか?
そもそもメールサービスPにアクセスした状況ではないのに「メールサービスPにHSTSが実装されていないことを踏まえた」回答を求められていること自体が理解ができないです。何か根本の理解が誤っているでしょうか。
「②について、この時、サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか。メールサービスPにHSTSが実装されていないことを踏まえ、理由を20字以内で述べよ。」
模範解答は「HTTPで接続が開始されたから」
状況として、SさんはメールサービスPではなく、攻撃者が用意したWebサーバにHTTPでアクセスしたため、サーバ証明書の検証が行われなかったということだと思いますが、この回答のどの部分が「メールサービスPにHSTSが実装されていないことを踏まえ」た回答になっているのでしょうか?
そもそもメールサービスPにアクセスした状況ではないのに「メールサービスPにHSTSが実装されていないことを踏まえた」回答を求められていること自体が理解ができないです。何か根本の理解が誤っているでしょうか。
2024.12.17 22:36
pixさん(No.2)
★SC ダイヤモンドマイスター
はい。スレ主様は以下の箇所を見落としています。
P9 「P社が提供するクラウドサービス型Webメールサービス(以下、メール
サービスPという)」
です。
P9 「P社が提供するクラウドサービス型Webメールサービス(以下、メール
サービスPという)」
です。
2024.12.18 08:12
支援士さん(No.3)
ありがとうございます。ですが、分かりませんでした。。スミマセン。
・問題
Sさんは、メールサービスPにアクセスしたつもりだったが、実際にはWebブラウザは攻撃者が用意したWebサーバに接続していた。
サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか?
・答え
httpで攻撃者が用意したWebサーバに接続したので、サーバ証明書の検証は行われず、エラーは表示されなかった。・・・それだけの事では?
・疑問
この答えに「メールサービスPにHSTSが実装されていないこと」が踏まえられている訳ではないですよね、と思うのですが。
もしSさんが接続した先がメールサービスPであれば、http…と入力してアクセスしてもhttpsにリダイレクトされるが、接続した先がWebサーバであったから、httpのまま接続されてしまった。
ってことなんでしょうか?
これでも、「メールサービスPがhttpでアクセスしてもhttpsにリダイレクトされる仕様であること」は踏まえていますが、メールサービスPにHSTSが実装されていないことを踏まえている訳ではないと思うんです。
・問題
Sさんは、メールサービスPにアクセスしたつもりだったが、実際にはWebブラウザは攻撃者が用意したWebサーバに接続していた。
サーバ証明書が信頼できない旨のエラーが表示されなかったのはなぜか?
・答え
httpで攻撃者が用意したWebサーバに接続したので、サーバ証明書の検証は行われず、エラーは表示されなかった。・・・それだけの事では?
・疑問
この答えに「メールサービスPにHSTSが実装されていないこと」が踏まえられている訳ではないですよね、と思うのですが。
もしSさんが接続した先がメールサービスPであれば、http…と入力してアクセスしてもhttpsにリダイレクトされるが、接続した先がWebサーバであったから、httpのまま接続されてしまった。
ってことなんでしょうか?
これでも、「メールサービスPがhttpでアクセスしてもhttpsにリダイレクトされる仕様であること」は踏まえていますが、メールサービスPにHSTSが実装されていないことを踏まえている訳ではないと思うんです。
2024.12.18 22:05
d-kさん(No.4)
HSTSを実装されていた場合は、ブラウザがhttpアクセスをhttpsに置き換えます。
実際の名前解決先が攻撃者が用意したWEBサーバであったとしてもです。
結果的にhttpsでアクセスするので、証明書のエラーが起きます。
HSTSが実装されていない場合、正規のサーバにhttpでアクセスすればリダイレクトされますが、今回は攻撃者のサーバにアクセスしているのでリダイレクトされません。
httpでアクセスするのでエラーも表示されません。
HSTSが実装されていて、二回目以降のアクセスであれば「ブラウザが」httpsにおきかえるので今回のケースではエラーに気づけたという話です。
実際の名前解決先が攻撃者が用意したWEBサーバであったとしてもです。
結果的にhttpsでアクセスするので、証明書のエラーが起きます。
HSTSが実装されていない場合、正規のサーバにhttpでアクセスすればリダイレクトされますが、今回は攻撃者のサーバにアクセスしているのでリダイレクトされません。
httpでアクセスするのでエラーも表示されません。
HSTSが実装されていて、二回目以降のアクセスであれば「ブラウザが」httpsにおきかえるので今回のケースではエラーに気づけたという話です。
2024.12.19 01:55
支援士さん(No.5)
pixさん、d-kさんありがとうございます。
d-kさん、この解説で理解できました。ありがとうございます!
>HSTSを実装されていた場合は、ブラウザがhttpアクセスをhttpsに置き換えます。
>実際の名前解決先が攻撃者が用意したWEBサーバであったとしてもです。
d-kさん、この解説で理解できました。ありがとうございます!
2024.12.19 22:31
その他のスレッド
»[1787] 令和3年春午後1問3設問4(3) 投稿数:4»[1786] 経済産業省の11月の登録セキスペの見直しに関する資料 投稿数:11
»[1785] 令和4年春午後2問1設問6(4) 投稿数:3