HOME»情報処理安全確保支援士令和3年春期»午前Ⅱ 問15
情報処理安全確保支援士令和3年春期 午前Ⅱ 問15
問15
HSTS(HTTP Strict Transport Security)の説明はどれか。
- HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。
- HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webページの文書やスクリプトについて,あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
- HTTPSで通信が保護されている場合にだけ,cookieの属性によらず強制的にcookieを送信する。
- 信頼性が高いサーバ証明書を有するWebサイトとのHTTPS通信では,Webブラウザに鍵マークを表示する。
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
ア
解説
HSTS(HTTP Strict Transport Security)は、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。
したがって「ア」が適切な説明です。
//アクセスから365日間、サブドメインも含めてHTTPS接続を強制
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的ですが、初回のHTTPアクセスは暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されています。Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。
したがって「ア」が適切な説明です。
- 正しい。HSTSの説明です。
- Webブラウザが提供するセキュリティ機能である「同一オリジンポリシー」の説明です。
- cookieの属性によらず強制的にcookieを送信させる仕組みはありません。
- Webブラウザの動作です。有効なサーバ証明書でありHTTPSが有効であれば信頼性にかかわらず鍵マークが表示されます。