令和5年度秋期の午後問2について質問します。

はるさん  
(No.1)
令和5年度秋期の午後問2について質問します。

設問1の(3)の問題文と解答例ですが、

偽APに接続して、BサービスにHTTPでアクセス...とありますが、この時のBサービスは「正規のBサービス」に接続している言うことでしょうか?

解答例を読むと、偽サイトでHTTPS接続に置き換えられ、偽サイトがサーバ証明書を発行しているように読み取れます。これは、ブラウザに信頼できる「サーバ証明書」として登録されていて、偽サイトに接続した時に、「不一致」でエラーメッセージが表示されるのであれば理解できます。

しかし、初めてBサービスを利用する時、偽サイトに接続した場合に回避できるか疑問に思います。

経験上「サーバ証明書」は、初回接続までに正規サイトから発行された「サーバ証明書」をブラウザに登録しておくことが、通常の手続きであれば、理解できます。
2024.04.14 11:55
使い切りさん 
(No.2)
>偽APに接続して、BサービスにHTTPでアクセス...とありますが、この時のBサービスは「正規のBサービス」に接続している言うことでしょうか?

Noです。

>解答例を読むと、偽サイトでHTTPS接続に置き換えられ、偽サイトがサーバ証明書を発行しているように読み取れます。これは、ブラウザに信頼できる「サーバ証明書」として登録されていて、偽サイトに接続した時に、「不一致」でエラーメッセージが表示されるのであれば理解できます。

WEBブラウザとサーバ証明書の関係についてもう一度復習しましょう。WEBブラウザはサーバ証明書の何の情報をもとに、そのサーバ証明書を信頼しているのでしょうか?


>しかし、初めてBサービスを利用する時、偽サイトに接続した場合に回避できるか疑問に思います。

認証局がどこともわからないサーバ証明書では初めてのアクセスでも警告画面は出ます。

>経験上「サーバ証明書」は、初回接続までに正規サイトから発行された「サーバ証明書」をブラウザに登録しておくことが、通常の手続きであれば、理解できます。

日本語がよくわからないです。
2024.04.14 13:43
はるさん  
(No.3)
>>経験上「サーバ証明書」は、初回接続までに正規サイトから発行された「サーバ証明書」をブラウザに登録しておくことが、通常の手続きであれば、理解できます。
>日本語がよくわからないです。

日本語が伝わらなくて申し訳ありません。
Windowsで言うと、インターネットオプションで「証明書の管理」がありますが、認証局から発行された「サーバ証明書」を事前に手動で登録することがありました。であれば、偽サイトに誘導されても「サーバ証明書」の不一致が検知できると思いました。
ただ、事前登録については、問題文には記載されていないので、前提としてどうかという質問でした。
2024.04.14 15:28

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop