H31春  午後1問2  設問1、2

サワさん  
(No.1)
公開鍵、秘密鍵のシーケンスについて
調べても仕組みが不明なのですが、オーセンティケータはすべてのユーザーの秘密鍵を持っているのでしょうか?

HSTSについて
「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」
HSTSが実装されていなくても、リダイレクトされる仕様とあるのでHTTPSにリダイレクトされると思いますが、なぜHTTPアクセスになるのでしょうか?
2023.04.12 08:03
たにとさん 
(No.2)
○HSTSについて
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。

攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。
2023.04.12 08:14
サワさん  
(No.3)
回答ありがとうございます。

それだと、HSTSの有無は関係ない(引っ掛け)という認識でよろしいでしょうか?
2023.04.12 09:57
たにとさん 
(No.4)
この投稿は投稿者により削除されました。(2023.04.12 11:19)
2023.04.12 11:19
たにとさん 
(No.5)
この投稿は投稿者により削除されました。(2023.04.12 11:28)
2023.04.12 11:28
たにとさん 
(No.6)
いいえ、HSTSの有無は関係あります。HSTSが実装されていれば、本問のセキュリティインシデントは発生していません。

仮にメールサービスPにHSTSが実装されていたとします。
PC-Sは、セキュリティインシデント発生前に、メールサービスPの正規のWebサーバにHTTPでアクセスしていると考えられます。
このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。
PC-Sのブラウザはこの通知を覚えておき、SさんがメールサービスPのHTTPのFQDNを手入力したとしても、HTTPSに変換してアクセスします。

この状態でホテルWi-Fiに接続したとします。
SさんがメールサービスPのHTTPのFQDNを手入力すると、ブラウザはHTTPSに変換してアクセスします。
最初からHTTPSで攻撃者が用意したWebサーバにアクセスすることになります。
HTTPSで接続されるので、サーバ証明書の検証が行われ、信頼できない旨のエラーが表示されます。
Sさんはエラーに気づくので、セキュリティインシデントは発生しません。

本問の状況では、本物のサーバにHSTSが実装されておらず、かつ、偽物のサーバにHTTPでアクセスしたことで、HTTP接続のままになっています。
どちらかといえば、HSTSの有無が本問のメインで、リダイレクトの方が引っかけになるかと思います。
2023.04.12 11:28
サワさん  
(No.7)
>このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。

max-ageの事ですよね?
とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。
2023.04.12 14:29
たにとさん 
(No.8)
>とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。

はい、それはそうですね。しかし、この想像は本問では意味がありません。

HSTSが実装されていないので、メールサービスPのHTTPのFQDNを手入力すると、「確実に」攻撃者が用意したWebサーバにHTTPでアクセスしてしまう
というように、想像を挟まずに確実な推測ができるからです。
2023.04.12 15:04

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop