HOME»情報処理安全確保支援士掲示板»H31春 午後1問2 設問2(1)
投稿する
[0386] H31春 午後1問2 設問2(1)
午後Ⅱでハズレ引きさん(No.1)
IPA解答「認証サーバXでオリジンbとオリジンsの一致を確認しているから」とありますが、理解できません。
図6において、真ん中のWebブラウザがフィッシングサイトだと想定、Iした場合、認証サーバXに渡す情報は
・IDc, H(ドメイン), 著名M → オーセンティケータから中継する
・乱数c' → すでに認証サーバから渡されている
・オリジンb → 本物のサイトと同じものを用意するに決まっている
認証サーバに渡す全てのパラメータが揃っているので、中間者攻撃は可能と思われるのですが間違っていますか?
図6において、真ん中のWebブラウザがフィッシングサイトだと想定、Iした場合、認証サーバXに渡す情報は
・IDc, H(ドメイン), 著名M → オーセンティケータから中継する
・乱数c' → すでに認証サーバから渡されている
・オリジンb → 本物のサイトと同じものを用意するに決まっている
認証サーバに渡す全てのパラメータが揃っているので、中間者攻撃は可能と思われるのですが間違っていますか?
2019.09.24 00:11
午後Ⅱでハズレ引きさん(No.2)
申し訳ありません。設問2(3)です
2019.09.24 00:13
rm -rf /さん(No.3)
図6最後、署名Mを複合(検証)するための認証サーバの公開鍵Kを
攻撃者は入手出来ていないので、認証サーバXで一致を確認できればよいのではないでしょうか。
攻撃者は入手出来ていないので、認証サーバXで一致を確認できればよいのではないでしょうか。
2019.09.29 17:46
クリーパーさん(No.4)
認証サーバはHTTPS、偽サーバは証明書のチェックをされないようHTTP
この違いからオリジン不一致となるようです。
難しすぎます。
私は本番で解けませんでした^^;
この違いからオリジン不一致となるようです。
難しすぎます。
私は本番で解けませんでした^^;
2019.10.08 16:13