HOME»情報処理安全確保支援士掲示板»H31春  午後1問2  設問2(1)

情報処理安全確保支援士掲示板

掲示板検索:

H31春  午後1問2  設問2(1)[0386]

午後Uでハズレ引きさん(No.1)

IPA解答「認証サーバXでオリジンbとオリジンsの一致を確認しているから」とありますが、理解できません。
図6において、真ん中のWebブラウザがフィッシングサイトだと想定、Iした場合、認証サーバXに渡す情報は
・IDc, H(ドメイン), 著名M  →  オーセンティケータから中継する
・乱数c'  →  すでに認証サーバから渡されている
・オリジンb  →  本物のサイトと同じものを用意するに決まっている

認証サーバに渡す全てのパラメータが揃っているので、中間者攻撃は可能と思われるのですが間違っていますか?






2019.09.24 00:11
午後Uでハズレ引きさん(No.2)

申し訳ありません。設問2(3)です

2019.09.24 00:13
rm -rf /さん(No.3)

図6最後、署名Mを複合(検証)するための認証サーバの公開鍵Kを
攻撃者は入手出来ていないので、認証サーバXで一致を確認できればよいのではないでしょうか。

2019.09.29 17:46
クリーパーさん(No.4)

認証サーバはHTTPS、偽サーバは証明書のチェックをされないようHTTP
この違いからオリジン不一致となるようです。

難しすぎます。
私は本番で解けませんでした^^;

2019.10.08 16:13

返信投稿用フォーム

スパム防止のために初投稿日から2カ月以上経過したスレッドへの書き込みは禁止しています。

© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop