令和5年秋 午後 問2 設問1(3)に解説について
広告
匿名さん
(No.1)
「HSTSが設定されていれば初回のhttpアクセス時に中間者攻撃や盗聴を受けるリスクを排除することができる」
との記載があり、こちらについて質問させていただきます。
HSTSを設定した場合、通信が
①ブラウザがサーバへhttpで接続
②サーバから次回からhttpsでstrict-transport-securityとlocationが追加されたレスポンスが返る
③ブラウザはlocationに記載されたURLへ接続
④次回以降はキャッシュが残っている間ブラウザがhttpのアクセスをhttpsのアクセスへ置き換える
というような流れになると認識しています。
初回のhttpアクセス時は暗号化通信ができていないので中間者攻撃や盗聴を受けるリスクはhttpsリダイレクトと変わりなく、初回の通信からhttpsを利用するためにはHSTSプリロードリストへの登録が必要ではないかなと思いました。
HSTSさえ設定してしまえば、初回からhttps通信は可能なのでしょうか?
との記載があり、こちらについて質問させていただきます。
HSTSを設定した場合、通信が
①ブラウザがサーバへhttpで接続
②サーバから次回からhttpsでstrict-transport-securityとlocationが追加されたレスポンスが返る
③ブラウザはlocationに記載されたURLへ接続
④次回以降はキャッシュが残っている間ブラウザがhttpのアクセスをhttpsのアクセスへ置き換える
というような流れになると認識しています。
初回のhttpアクセス時は暗号化通信ができていないので中間者攻撃や盗聴を受けるリスクはhttpsリダイレクトと変わりなく、初回の通信からhttpsを利用するためにはHSTSプリロードリストへの登録が必要ではないかなと思いました。
HSTSさえ設定してしまえば、初回からhttps通信は可能なのでしょうか?
2024.09.28 22:28
pixさん
★SC ダイヤモンドマイスター
(No.2)
>HSTSさえ設定してしまえば、初回からhttps通信は可能なのでしょうか?
いえ。そんなことはありません。
この問には流れがあります。
「攻撃者が偽APを用意し、」とあります。
すなわち、
・まず本物のAPがあり
・M社の従業員は日々本物のAPに接続し
・日常的にBサービスを利用している
という前提を行間から読み取る必要があります。
いきなり
・初回の接続が偽AP
・Bサービスに初回接続
・その際にHTTPで接続
という初回づくめ&HTTP接続するといった不自然な状況では
ないということです。
2024.09.28 22:43
匿名さん
(No.3)
>pixさん
すみません、こちらの問題の状況に対してのHSTSというより、HSTSの設定そのものとして初回からhttps通信が可能なのか?というのが聞きたいところでありました。
リンクを貼り忘れており申し訳ないのですが、こちらで掲載されている解説についての質問となります。
https://www.sc-siken.com/kakomon/05_aki/pm2.html
HSTSの動きとしてこういうものだよ、と書かれているような気がして違和感を覚えた次第です。
2024.09.28 23:00
pixさん
★SC ダイヤモンドマイスター
(No.4)
すみません、私も詳細な動作を完全に記憶していないです。
私の記憶がたしかならば、
HSTSはHTTPバーチャルホスト側には設定不可です。
HSTSはHTTPSバーチャルホスト側で設定されます。
そのため、初回HTTPでアクセスした場合のフローは以下です。
1.クライアントがHTTPバーチャルホストに接続する
2.HTTPバーチャルホストで常時リダイレクトでHTTP->HTTPSへの
リダイレクトを行う
3.クライアントはリダイレクトでHTTPSバーチャルホストへ接続する
4.HTTPSバーチャルホストへ初回接続の場合、クライアントにHSTSが
設定される
です。
以上のフローを成立させるために、HTTPバーチャルホスト側での
常時リダイレクトは必須になります。
私の記憶がたしかならば、
HSTSはHTTPバーチャルホスト側には設定不可です。
HSTSはHTTPSバーチャルホスト側で設定されます。
そのため、初回HTTPでアクセスした場合のフローは以下です。
1.クライアントがHTTPバーチャルホストに接続する
2.HTTPバーチャルホストで常時リダイレクトでHTTP->HTTPSへの
リダイレクトを行う
3.クライアントはリダイレクトでHTTPSバーチャルホストへ接続する
4.HTTPSバーチャルホストへ初回接続の場合、クライアントにHSTSが
設定される
です。
以上のフローを成立させるために、HTTPバーチャルホスト側での
常時リダイレクトは必須になります。
2024.09.28 23:26
匿名さん
(No.5)
>pixさん
プリロードなしに初回からhttps通信は不可能ということになりますね。
この問題のケースにおいてはHSTSが設定されているから初回からhttps通信が可能である、と解釈することにしました。
質問文がおかしくてすみません…。ご回答いただきありがとうございました。
2024.09.29 17:50
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告