• 締切済み

情報処理安全確保支援 平成31年度 春 午後Ⅰ

平成31年度 春期試験 午後Ⅰ問題対策② 問2 設問1-(3)について 「メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており」と記述されていますので、HSTSは実装されていなくても、HTTPでアクセスした場合HTTPSにリダイレクトされるので証明書のエラーは出るかと思います。 なぜ、リダイレクトされないのでしょうか? https://thinkit.co.jp/article/16720

みんなの回答

回答No.3

不正なWebサーバーにメールサービスPで使用している正規の証明書を使用することは出来ないので、HTTPSでアセスされると証明書のエラーが表示されます。なので、HSTSを設定したら不正なWebサーバーを設置した意味がありません。(HTTPでアクセスしても、HTTPSでアクセスしても、証明書のエラーが表示されるため怪しまれる) (1)メールサービスPにHTTPでアクセス HTTPSにリダイレクト (2)メールサービスPにHTTPSでアクセス 証明書のエラーは表示されずサービスが受けられる (3)不正なWebサーバーにHTTPでアクセス メールサービスPのふりをする (4)不正なWebサーバーにHTTPSでアクセス アクセスできないか、証明書のエラーが表示される 問題では、不正なDNSを使用しているせいで、メールサービスPのFQDNを入力しても不正なWebサーバーにアクセスしてしまう状態なので、(1)と(2)はない。証明書のエラーが表示されなかったので(4)もない。だから(3)の状況となり、原因はHTTPでアクセスしたからになります。

回答No.2

問題では、 ・メールサービスPはHTTP over TLSでサービスが提供されている。HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており ・メールサービスPにHSTSが実装されていないことを踏まえ となっています。 つまり、HSTSではないので、ドメイン内の特定のアドレスへのアクセスはHTTPSにリダイレクトされるが、全てがリダイレクトされるわけではない、ということではないでしょうか。 なので、正規のメールサービスPへHTTPでアクセスした場合はHTTPSにリダイレクトされるが、実際には不正なWebサーバーだったためHTTPアクセスのままリダイレクトされず、証明書のエラーが表示されなかった、と解釈できます。

sngdf4
質問者

補足

不正なWebサーバーであればHSTSを設定していてもhttpsで正規のメールサービスPにアクセスしないので意味ないのではないでしょうか?

回答No.1

(2)にあるように、正しいFQDNを入力していても、攻撃者が用意したDNSを使用しているせいで、本来のWebサーバーに接続しているのではなく、攻撃者が用意した不正なWebサーバーに接続しています。この不正なWebサーバーにはHSTSが実装されていなかったため、HTTPSにリダイレクトされなかったと考えられます。

sngdf4
質問者

補足

それではあれば、メールサービスPにHSTSが実装されていないことは関係ないのではないでしょうか?

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ネットトラブル

関連するQ&A

  • 平成21年 春期 基本情報技術者 午後 問06

    平成21年 春期 基本情報技術者 午後 問06  設問3の「f」の回答の求め方を知っている方はいらっしゃいますでしょうか。 ここだけ回答が導き出せませんでしたので、知っていたら教えて頂きたいと思います。 秋に基本情報技術者試験を受験しようと思い勉強中です。

  • 平成21年 春期 基本情報技術者 午後 問01

    平成21年 春期 基本情報技術者 午後 問01 の設問3の回答が「エ」で黒白黒の並びというのですが、どうしてか解説をして下さる方はいらっしゃいますでしょうか。 秋に基本情報技術者試験を受験しようと思い勉強中です。 私は「1番上の行の左端の画素は白で始まるものとする」という文章から答えを「ウ」と選択してしまいました。

  • 初級シスアド 平成18年度春期試験 問題(午後問3)

    初級シスアドを受験予定の者です。 平成18年度春期試験の午後問題の問3について質問です。ディジタル署名に関する問題なのですが、送信者側と受信者側でのそれぞれの公開鍵/秘密鍵、AとBの共通鍵など色々出てきてうまく頭の中で整理がつきません。 http://www.kimura-kouichi.com/test/20061/061pmex3.html 特に「設問1」について、AとBの鍵のやりとりや暗号化・復号について分かりやすく教えていただければと思います。

  • プログラマブルなHTTPSプロキシサーバーの構築

    現在プログラマブルなHTTPS PROXY SERVERが作りたくて悩んでおります。 Proxy Serverでやりたいこと: 1.HTTPの場合はHTMLのコンテキスト(ペイロードデータ)データでフィルタリング 2.SSL/TLS通信はそのまま転送(しかし、SrcとDstは保存しておきたい) 3.SSL/TLS通信でクライアントがアクセスしたいDSTアドレスによって、   適宜、証明書を選択したい。 (多分)技術的に求めていること: 1.HTTP/HTTPS通信に対応したProxy Serverを立てられること 2.HTTPS通信の場合はSRCとDSTアドレスが分かること 3.HTTPS通信は転送ができること、また、場合によっては特定の証明書を適応できること 4.HTTP/HTTPS(証明書適応時)通信のフィルタリング、(広告を消したり、特定のヘッダーを埋め込んだり) 私の調べた範囲ですと ・Ruby(webrickなど)では、HTTPSに対応したProxy Serverは開発できませんでした。 ・Python(tornadeやproxpy)などではHTTP/HTTPSに対応したProxy Serverは構築できましたが、HTTPS通信そのものを転送することができませんでした。特定の証明書を埋め込む必要があり、結果的にMITM攻撃を強制することになってしまいます。 ・SQUIDですと、HTTPS通信をそのまま転送(フォワード)することはできますが、 接続先によって証明書を変更したり、ペイロードデータでフィルタリングをしたりするようなことはできませんでした。 上記のことから、RubyかPythonで、HTTPS通信をフォーワードしつつDSTによって、処理を変更することができればよいのですが・・・、できておりません。 良い実装方法を御存じの方がいらっしゃいましたら 是非、教えて頂けませんでしょうか。 乱文となりましたが宜しくお願い致します。

  • 平成22年度秋期、応用情報技術者試験について

    平成22年度秋期、応用情報技術者試験について 昨日、TACの解答速報(午後の部)が出ましたが、文章記述部分の点数により合否が分かれそうです。 心配なので、各問何点くらい貰えそうか予想をお願いします! 【問2の設問4(2)】配点3点 (私)'('及び')'を抽出した場合の戻り値を定義しなければならない。 (TAC解答)字句が'('または')'の場合は'?'ではなく各文字を戻り値とする 【問9の設問3】配点4点 (私)ウィルス感染した端末を社内ネットワークから隔離する為。 (TAC解答)ウイルス感染などの被害が拡大するのを防ぐため 【問10の設問2(2)】配点2点 (私)自己チェックに用いるチェックリストにコメントの項を加える。 (TAC解答)規約に規定されたコメントの記載に関する確認項目をチェックリストに加える 【問10の設問3(3)】配点2点 (私)ケース密度を算出し、単体テストケースが妥当だったかどうか (TAC解答)単体テストケースが詳細設計書の要求事項を網羅しているか 問題冊子PDF http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2010h22_2/2010h22a_ap_pm_qs.pdf

  • 情報セキュリティスペシャリスト(H25秋午後II)

    こんにちは、情報セキュリティスペシャリストのH25秋午後IIの解答で、不明な点がありますので、分かる方はお手数ですが、回答宜しくお願い致します。 設問4(2)解答としては「User-Agentヘッダの内容に文字列“Java”が含まれるリクエストをフィルタリングする。」とありますが、そうした場合、Javaアプレットを使用するシステムBが利用できなくなるのでは、ないでしょうか。 設問4(4)解答としては、設定を行うPC:NさんのPC、禁止する通信:インバウンド通信、とありますが、そうした場合、例えば、Nさんが拠点メールサーバーよりメール受信する際のインバウンド通信や、プロキシを通じたWebサーバーからのHTTPレスポンスのインバウンド通信ができなくなるのではないでしょうか。 なお、平成26年度春期 情報セキュリティスペシャリスト過去問題集を見て問題を解いています。 以上、よろしくお願いします。

  • データベーススペシャリスト(テクニカルエンジニア)

    データベーススペシャリスト(テクニカルエンジニア)の過去問、平成18念春期午後1 問4 設問1(1)の問題が理解できません。もともと顧客番号・顧客集荷先番号の順に並んでた行が、更新がかかる場合はもとあった場所とは違う場所に移動するってことでしょうか?

  • 基本情報 平成18年春期問1について

    こんにちは。 7月の基本情報技術者試験を受験しようと思って、 暇を見て対策に取り組んでいる者です。 過去問を解いていてわからないことが出てまいりましたので、 質問させていただきます。 まずは、下記のサイトを見ていただきたいのですが・・・ http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2006h18_1/2006h18h_fe_pm_qs.pdf 平成18年春期午後の5ページからの問1なのですが、 設問2についてなのですが、 (1)  高橋麻奈先生著「やさしい基本情報技術者講座」に  相関副問い合わせの説明があったのですが、  副問い合わせ中に、主問い合わせでの検索対象の表を含んでいる  この場合も、「相関副問い合わせ」なのでしょうか? (2)  SQL(4)の結果に、家族のいない社員が出力されるのですが、  なぜそうなるのか、わかりません。  S612、S609 が出力されるのは理解できるのですが・・・   /*    SQL中の ALL を ANY にした場合の出力結果は    手持ちのaccess2007 で同じ表をつくり、    クエリデザインでためしたところ    出力結果も納得できました。   */  主問い合わせの検索対象である「社員表」の  家族のいない社員のデータが 副問い合わせに照合された場合、  true が返される、のでしょうか? どなたか教えていただけないでしょうか? よろしくおねがいします。

  • apache の設定 HTTPSをHTTPにリダイレクトする方法

    メンテナンス用のソーリーサーバを構築しているのですが、HTTPS(443)のアクセスをHTTP(80)へリダイレクトする方法はないでしょうか?逆はあるようなのですが、、、 ちなみに、httpd.confのLISTENに80と443を並べて書いても、「http://www.domain.com:443」への対応は出来ても「https://www.domain.com」はできませんでした。 誰かご存知の方教えてください。

  • HTTPS(SSL)通信とサーブレットについて

    ショッピングサイトなどで、買い物カゴに入れたあと、支払いするときにHTTPS(SSL)通信になりますが、この場合の仕組みがよくわかりません。 (1)これは、WebサーバをHTTP用とHTTPS(SSL)用の2台構成として、買い物カゴにいれるまでは、HTTP用のWebサーバでアクセスしておいて、支払いするときにHTTPS(SSL)用のWebサーバにアクセスさせることで実現してるのでしょうか? (2)ショッピングサイトを見ると、URLはHTTP://がHTTPS://に変わるだけで、サーバが変わっているようには見えませんが、これは、apacheなどのWebサーバが持つバーチャルホスト機能で実現してるのでしょうか? (3)アプリケーションを開発する側としては、HTTP通信を行うサーブレットはHTTP用のサーバに配置して、HTTPS(SSL)通信を行うサーブレットはHTTPS(SSL)用のサーバに配置しておいて、HTTPS(SSL)通信をしたいときは、HTTP用のサーバに配置したサーブレットから、HTTPS(SSL)用のサーバに配置したサーブレットを呼びだすだけでOKでしょうか? (4)また、(3)が正しい場合、サーブレットの配置さえ気にしていれば、特にHTTPS(SSL)用のプログラムを組む必要はないでしょうか? 調べたのですが、最初からHTTP(SSL)通信する場合の方法しか記載がなくて困っています。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する