• 締切済み

情報処理安全確保支援 平成31年度 春 午後Ⅰ

平成31年度 春期試験 午後Ⅰ問題対策② 問2 設問1-(3)について 「メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており」と記述されていますので、HSTSは実装されていなくても、HTTPでアクセスした場合HTTPSにリダイレクトされるので証明書のエラーは出るかと思います。 なぜ、リダイレクトされないのでしょうか? https://thinkit.co.jp/article/16720

みんなの回答

回答No.3

不正なWebサーバーにメールサービスPで使用している正規の証明書を使用することは出来ないので、HTTPSでアセスされると証明書のエラーが表示されます。なので、HSTSを設定したら不正なWebサーバーを設置した意味がありません。(HTTPでアクセスしても、HTTPSでアクセスしても、証明書のエラーが表示されるため怪しまれる) (1)メールサービスPにHTTPでアクセス HTTPSにリダイレクト (2)メールサービスPにHTTPSでアクセス 証明書のエラーは表示されずサービスが受けられる (3)不正なWebサーバーにHTTPでアクセス メールサービスPのふりをする (4)不正なWebサーバーにHTTPSでアクセス アクセスできないか、証明書のエラーが表示される 問題では、不正なDNSを使用しているせいで、メールサービスPのFQDNを入力しても不正なWebサーバーにアクセスしてしまう状態なので、(1)と(2)はない。証明書のエラーが表示されなかったので(4)もない。だから(3)の状況となり、原因はHTTPでアクセスしたからになります。

全文を見る
すると、全ての回答が全文表示されます。
回答No.2

問題では、 ・メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており ・メールサービスPにHSTSが実装されていないことを踏まえ となっています。 つまり、HSTSではないので、ドメイン内の特定のアドレスへのアクセスはHTTPSにリダイレクトされるが、全てがリダイレクトされるわけではない、ということではないでしょうか。 なので、正規のメールサービスPへHTTPでアクセスした場合はHTTPSにリダイレクトされるが、実際には不正なWebサーバーだったためHTTPアクセスのままリダイレクトされず、証明書のエラーが表示されなかった、と解釈できます。

sngdf4
質問者

補足

不正なWebサーバーであればHSTSを設定していてもhttpsで正規のメールサービスPにアクセスしないので意味ないのではないでしょうか?

全文を見る
すると、全ての回答が全文表示されます。
回答No.1

(2)にあるように、正しいFQDNを入力していても、攻撃者が用意したDNSを使用しているせいで、本来のWebサーバーに接続しているのではなく、攻撃者が用意した不正なWebサーバーに接続しています。この不正なWebサーバーにはHSTSが実装されていなかったため、HTTPSにリダイレクトされなかったと考えられます。

sngdf4
質問者

補足

それではあれば、メールサービスPにHSTSが実装されていないことは関係ないのではないでしょうか?

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ネットトラブル

関連するQ&A

  • 平成21年 春期 基本情報技術者 午後 問06

    平成21年 春期 基本情報技術者 午後 問06  設問3の「f」の回答の求め方を知っている方はいらっしゃいますでしょうか。 ここだけ回答が導き出せませんでしたので、知っていたら教えて頂きたいと思います。 秋に基本情報技術者試験を受験しようと思い勉強中です。

  • プログラマブルなHTTPSプロキシサーバーの構築

    現在プログラマブルなHTTPS PROXY SERVERが作りたくて悩んでおります。 Proxy Serverでやりたいこと: 1.HTTPの場合はHTMLのコンテキスト(ペイロードデータ)データでフィルタリング 2.SSL/TLS通信はそのまま転送(しかし、SrcとDstは保存しておきたい) 3.SSL/TLS通信でクライアントがアクセスしたいDSTアドレスによって、   適宜、証明書を選択したい。 (多分)技術的に求めていること: 1.HTTP/HTTPS通信に対応したProxy Serverを立てられること 2.HTTPS通信の場合はSRCとDSTアドレスが分かること 3.HTTPS通信は転送ができること、また、場合によっては特定の証明書を適応できること 4.HTTP/HTTPS(証明書適応時)通信のフィルタリング、(広告を消したり、特定のヘッダーを埋め込んだり) 私の調べた範囲ですと ・Ruby(webrickなど)では、HTTPSに対応したProxy Serverは開発できませんでした。 ・Python(tornadeやproxpy)などではHTTP/HTTPSに対応したProxy Serverは構築できましたが、HTTPS通信そのものを転送することができませんでした。特定の証明書を埋め込む必要があり、結果的にMITM攻撃を強制することになってしまいます。 ・SQUIDですと、HTTPS通信をそのまま転送(フォワード)することはできますが、 接続先によって証明書を変更したり、ペイロードデータでフィルタリングをしたりするようなことはできませんでした。 上記のことから、RubyかPythonで、HTTPS通信をフォーワードしつつDSTによって、処理を変更することができればよいのですが・・・、できておりません。 良い実装方法を御存じの方がいらっしゃいましたら 是非、教えて頂けませんでしょうか。 乱文となりましたが宜しくお願い致します。

  • 情報セキュリティスペシャリスト(H25秋午後II)

    こんにちは、情報セキュリティスペシャリストのH25秋午後IIの解答で、不明な点がありますので、分かる方はお手数ですが、回答宜しくお願い致します。 設問4(2)解答としては「User-Agentヘッダの内容に文字列“Java”が含まれるリクエストをフィルタリングする。」とありますが、そうした場合、Javaアプレットを使用するシステムBが利用できなくなるのでは、ないでしょうか。 設問4(4)解答としては、設定を行うPC:NさんのPC、禁止する通信:インバウンド通信、とありますが、そうした場合、例えば、Nさんが拠点メールサーバーよりメール受信する際のインバウンド通信や、プロキシを通じたWebサーバーからのHTTPレスポンスのインバウンド通信ができなくなるのではないでしょうか。 なお、平成26年度春期 情報セキュリティスペシャリスト過去問題集を見て問題を解いています。 以上、よろしくお願いします。

  • データベーススペシャリスト(テクニカルエンジニア)

    データベーススペシャリスト(テクニカルエンジニア)の過去問、平成18念春期午後1 問4 設問1(1)の問題が理解できません。もともと顧客番号・顧客集荷先番号の順に並んでた行が、更新がかかる場合はもとあった場所とは違う場所に移動するってことでしょうか?

  • apache の設定 HTTPSをHTTPにリダイレクトする方法

    メンテナンス用のソーリーサーバを構築しているのですが、HTTPS(443)のアクセスをHTTP(80)へリダイレクトする方法はないでしょうか?逆はあるようなのですが、、、 ちなみに、httpd.confのLISTENに80と443を並べて書いても、「http://www.domain.com:443」への対応は出来ても「https://www.domain.com」はできませんでした。 誰かご存知の方教えてください。

  • HTTPS(SSL)通信とサーブレットについて

    ショッピングサイトなどで、買い物カゴに入れたあと、支払いするときにHTTPS(SSL)通信になりますが、この場合の仕組みがよくわかりません。 (1)これは、WebサーバをHTTP用とHTTPS(SSL)用の2台構成として、買い物カゴにいれるまでは、HTTP用のWebサーバでアクセスしておいて、支払いするときにHTTPS(SSL)用のWebサーバにアクセスさせることで実現してるのでしょうか? (2)ショッピングサイトを見ると、URLはHTTP://がHTTPS://に変わるだけで、サーバが変わっているようには見えませんが、これは、apacheなどのWebサーバが持つバーチャルホスト機能で実現してるのでしょうか? (3)アプリケーションを開発する側としては、HTTP通信を行うサーブレットはHTTP用のサーバに配置して、HTTPS(SSL)通信を行うサーブレットはHTTPS(SSL)用のサーバに配置しておいて、HTTPS(SSL)通信をしたいときは、HTTP用のサーバに配置したサーブレットから、HTTPS(SSL)用のサーバに配置したサーブレットを呼びだすだけでOKでしょうか? (4)また、(3)が正しい場合、サーブレットの配置さえ気にしていれば、特にHTTPS(SSL)用のプログラムを組む必要はないでしょうか? 調べたのですが、最初からHTTP(SSL)通信する場合の方法しか記載がなくて困っています。

  • 平成24年ITサービスマネージャー試験について

    平成24年度ITサービスマネージャー試験の午後I、問1と問2についてどなたか解説頂けませんでしょうか? IPAだと回答しか出ておらず・・・よろしくお願いします。 問1の設問1 「小数第3位を四捨五入」だと98%ではないでしょうか? あと、回答に2つ答えがあるのは何故? 問2の設問1、(2)と(3) 設問2、(2) こちらの回答方法がよくわかりません。解説願えませんでしょうか? よろしくお願いいたします。

  • 応用情報技術者試験の午後問題の配点について

     応用情報技術者試験を受験しようとしている者です。一通り 参考書での学習が終わったので、過去問を 一回分解いてみました。そこで質問なのですが、応用情報技術者は午後の問題が記述式です。(分野ごとの)各問の配点は 公表されていますが、その中の設問の配点がわかりません(他の試験区分もそうですが)。基本情報技術者の場合は 何となく自分で見当できましたが……。それでは(過去問で)何点ぐらいとれたかが 見当がつきません。以後の試験対策にも影響します。設問には、記号選択問題、穴埋め問題、(指定文字以内で解答する)記述問題と分けられると思いますが、それぞれ どの程度の配点比率だと考えればよいのでしょうか?困っているので宜しくお願い致します。

  • 基本情報 平成18年春期問1について

    こんにちは。 7月の基本情報技術者試験を受験しようと思って、 暇を見て対策に取り組んでいる者です。 過去問を解いていてわからないことが出てまいりましたので、 質問させていただきます。 まずは、下記のサイトを見ていただきたいのですが・・・ http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2006h18_1/2006h18h_fe_pm_qs.pdf 平成18年春期午後の5ページからの問1なのですが、 設問2についてなのですが、 (1)  高橋麻奈先生著「やさしい基本情報技術者講座」に  相関副問い合わせの説明があったのですが、  副問い合わせ中に、主問い合わせでの検索対象の表を含んでいる  この場合も、「相関副問い合わせ」なのでしょうか? (2)  SQL(4)の結果に、家族のいない社員が出力されるのですが、  なぜそうなるのか、わかりません。  S612、S609 が出力されるのは理解できるのですが・・・   /*    SQL中の ALL を ANY にした場合の出力結果は    手持ちのaccess2007 で同じ表をつくり、    クエリデザインでためしたところ    出力結果も納得できました。   */  主問い合わせの検索対象である「社員表」の  家族のいない社員のデータが 副問い合わせに照合された場合、  true が返される、のでしょうか? どなたか教えていただけないでしょうか? よろしくおねがいします。

  • wwwありかつhttpsへリダイレクトさせたい

    .htaccessに以下の記述をしていますが、 ブラウザでURLに”xxxx.jp”と"http://xxxx.jp"と入力してアクセスすると、 https://xxxx.jpにリダイレクトされてしまます。 ドメインxxxx.jpを.htaccessに記載せずにhttps://www.xxxx.jpにリダイレクトさせる記述をご存知でしょうか? wwwありの場合"www.xxxx.jp"、"http://www.xxxx.jp"は意図したとおり”https://www.xxxx.jp"に転送されています。 --- RewriteEngine On RewriteCond %{HTTPS} off RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteCond %{HTTP_HOST} !^www\. [NC] RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301] ---

    • 締切済み
    • CGI

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する