H31春  午後1問2  設問2(1)

午後Ⅱでハズレ引きさん  
(No.1)
IPA解答「認証サーバXでオリジンbとオリジンsの一致を確認しているから」とありますが、理解できません。
図6において、真ん中のWebブラウザがフィッシングサイトだと想定、Iした場合、認証サーバXに渡す情報は
・IDc, H(ドメイン), 著名M  →  オーセンティケータから中継する
・乱数c'  →  すでに認証サーバから渡されている
・オリジンb  →  本物のサイトと同じものを用意するに決まっている

認証サーバに渡す全てのパラメータが揃っているので、中間者攻撃は可能と思われるのですが間違っていますか?






2019.09.24 00:11
午後Ⅱでハズレ引きさん  
(No.2)
申し訳ありません。設問2(3)です
2019.09.24 00:13
rm -rf /さん 
(No.3)
図6最後、署名Mを複合(検証)するための認証サーバの公開鍵Kを
攻撃者は入手出来ていないので、認証サーバXで一致を確認できればよいのではないでしょうか。
2019.09.29 17:46
クリーパーさん 
(No.4)
認証サーバはHTTPS、偽サーバは証明書のチェックをされないようHTTP
この違いからオリジン不一致となるようです。

難しすぎます。
私は本番で解けませんでした^^;
2019.10.08 16:13

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop