HOME»情報処理安全確保支援士掲示板»H31春 午後1 問2 設問1 (3)について
投稿する
はい はじめてののアクセスならばブラウザ側でHSTSが効かないので、
「http://」でアクセスを開始してしまいます。
ですがシチュエーションとして、出張したときにはじめてメールサーバPへ
アクセスするという状況は考えずらいので、そこは無視していいかと思います。
»[0821] 過去問をやってマルバツ判定に困った場合のスレ 投稿数:5
»[0820] 平成31年春午後1問2 設問2 解説書は誤り? 投稿数:7
[0823] H31春 午後1 問2 設問1 (3)について
まめさん(No.1)
メールサーバPにHSTSが実装されていたとしても、この問の状況では、攻撃者が用意したwebサーバに接続されてしまうと思うのですが、この認識で間違いないでしょうか?
2022.03.20 15:30
pixさん(No.2)
★SC ダイヤモンドマイスター
「HTTP->HTTPSの常時リダイレクト化」と「HSTS」の区別が曖昧のようです。
オリジンは以下のようなものと想定されます
メールサーバPのオリジン:
「https://www.mailserver.com」
攻撃者のWebサーバのオリジン:
「http://www.mailserver.com」
違いは「https://」か「http://」かです。
「HTTP->HTTPSの常時リダイレクト化」はサーバ側でリダイレクトが行われます。
1.ブラウザから「http://www.mailserver.com」へアクセス
2.サーバ側でリダイレクトが行われ、ブラウザに
「https://www.mailserver.com」へ
アクセスしなおすように応答する
3.ブラウザは改めて、「https://www.mailserver.com」へアクセス
このフローの1.と2.の間には中間者が割り込む隙があり、本問ではその隙が
つかれたということになります。
一方「HSTS」は
1.はじめて「https://www.mailserver.com」へ
アクセスしたときにブラウザ内のHSTS対象リストにFQDNが登録される
(リストの保持期間は1年以上と長期になります)
2.ブラウザが「http://www.mailserver.com」へアクセスする際に
HSTS対象のURLであれば、ブラウザ側で
「https://www.mailserver.com」にURLを変換する
3.サーバ側へは最初から「https://www.mailserver.com」で
アクセスにいくことになる
このフローでは2.と3.の間には最初から「https://」で通信することになり、
中間者が入り込む隙がなくなります。
もちろん前提としてメールサーバPへのアクセスが初めてではなく、HSTS対象リストが
作成されている必要があります。
オリジンは以下のようなものと想定されます
メールサーバPのオリジン:
「https://www.mailserver.com」
攻撃者のWebサーバのオリジン:
「http://www.mailserver.com」
違いは「https://」か「http://」かです。
「HTTP->HTTPSの常時リダイレクト化」はサーバ側でリダイレクトが行われます。
1.ブラウザから「http://www.mailserver.com」へアクセス
2.サーバ側でリダイレクトが行われ、ブラウザに
「https://www.mailserver.com」へ
アクセスしなおすように応答する
3.ブラウザは改めて、「https://www.mailserver.com」へアクセス
このフローの1.と2.の間には中間者が割り込む隙があり、本問ではその隙が
つかれたということになります。
一方「HSTS」は
1.はじめて「https://www.mailserver.com」へ
アクセスしたときにブラウザ内のHSTS対象リストにFQDNが登録される
(リストの保持期間は1年以上と長期になります)
2.ブラウザが「http://www.mailserver.com」へアクセスする際に
HSTS対象のURLであれば、ブラウザ側で
「https://www.mailserver.com」にURLを変換する
3.サーバ側へは最初から「https://www.mailserver.com」で
アクセスにいくことになる
このフローでは2.と3.の間には最初から「https://」で通信することになり、
中間者が入り込む隙がなくなります。
もちろん前提としてメールサーバPへのアクセスが初めてではなく、HSTS対象リストが
作成されている必要があります。
2022.03.20 16:16
まめさん(No.3)
pixさん
大変わかりやすかったです。
とてもスッキリしました。
まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへのアクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまうという認識で間違いないでしょうか?
大変わかりやすかったです。
とてもスッキリしました。
まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへのアクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまうという認識で間違いないでしょうか?
2022.03.20 17:18
pixさん(No.4)
★SC ダイヤモンドマイスター
>まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへの
>アクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまう
>という認識で間違いないでしょうか?
はい はじめてののアクセスならばブラウザ側でHSTSが効かないので、
「http://」でアクセスを開始してしまいます。
ですがシチュエーションとして、出張したときにはじめてメールサーバPへ
アクセスするという状況は考えずらいので、そこは無視していいかと思います。
2022.03.20 17:37
まめさん(No.5)
とてもスッキリしました。
とてもわかりやすくて、感動しております。
ありがとうございました。
とてもわかりやすくて、感動しております。
ありがとうございました。
2022.03.21 07:17
その他のスレッド
»[0822] 令和2年度 午後Ⅰ 問2に関する質問 投稿数:1»[0821] 過去問をやってマルバツ判定に困った場合のスレ 投稿数:5
»[0820] 平成31年春午後1問2 設問2 解説書は誤り? 投稿数:7