HOME»情報処理安全確保支援士掲示板»H29 春  午後I 設問2(3)
投稿する

H29 春  午後I 設問2(3) [1045]

 ゆきさん(No.1) 
模範解答が「現在のパスワード」ですが、「新しいパスワード」では間違いなのでしょうか。
なぜ「現在のパスワード」という解答になるのかがわかりません。
よろしくお願いいたします。
2023.03.20 23:04
pixさん(No.2) 
SC ダイヤモンドマイスター
問題は「H29 春 午後I『問2』設問2(3)」でしょうか?

P9 表1 サイトαの画面遷移の仕様(抜粋):画面遷移(い)に
「現在のパスワードと新しいパスワードを入力し、」とあります。
すなわち、パスワード変更画面では
・現在のパスワード:パスワード変更者が正規の人物かを確認するため
・新しいパスワード(2回):パスワード確認のため
を入力することになります。

上記を踏まえると、空欄c,dは以下のような解答になります。
P11-12 
『X氏:変更作業のがある画面のうち、パスワード変更画面は、そもそも
[ a:クロスサイトリクエストフォージェリ ]の脆弱性への対策をしていませんが、
問題ありませんか。
K氏:パスワード変更画面では表1にあるように、[ c:現在のパスワード ]を入力
させる仕様です。
[ c:現在のパスワード ]は攻撃者が[ d:知り得ない ]情報であることを前提として
よいので、問題ありません。』
と意味の通る文章になります。
2023.03.20 23:46
 ゆきさん(No.3) 
pixさん

ありがとうございます。助かります。
攻撃者は盗聴などで現在のパスワードを知ることがあるのかなと考えたのですが、そういったこともないのでしょうか。
攻撃者がなぜ現在のパスワードを知ることがないと考えて問題ないのかがまだしっくりきておらず、、、
2023.03.21 09:23
pixさん(No.4) 
SC ダイヤモンドマイスター
>攻撃者がなぜ現在のパスワードを知ることがないと考えて問題ないのかが
>まだしっくりきておらず、、、
少々、問題を拡大解釈されているようです。
本問2のテーマは「WebアプリケーションのCSRF対策」です。

P11,12のX氏、K氏の話を要約すると、
X氏:パスワード変更画面はCSRF対策は必要ないですか?
K氏:攻撃者が知り得ない情報である現在のパスワードを入力するので、個別に
    CSRF対策は不要です。
となります。
つまり、CSRF対策について実施するか否かが話の焦点とであり、それ以外は
ここでは議論の対象にはなっておりません。

もし、本問がパスワード攻撃による不正アクセスに関するテーマであれば、
・他サイトからの流出
・盗聴による窃取
・正規の利用者からの詐取
に関しての対策を講じるストーリになると思われます。

文章読解の基本は「何も足さず、何も引かず」です。
本文中にないことは想定しないように注意してください。
2023.03.21 14:27
 ゆきさん(No.5) 
ありがとうございます。
ご指摘いただいた内容を踏まえて問題に取り組むようにいたします。
ありがとうございます。
2023.03.21 17:10
橙色文書さん(No.6) 
現在のパスワードが知られている状況であれば、利用者IDも知られているでしょうから堂々とログインされて不正操作されます。
従って、そのような状況ではCSR等の攻撃手法を考慮する必要がありません。
これは複雑・難解なロジックではなく、目的・目標・手段の順で考えれば気が付く単純なロジックです。

手段の目的化は日本人の民族特性のようですので、あと一か月もない期間ではどうにもなりません。
受験が終わったあと、IPAの模範解答が発表されて答え合わせできるようになるまでの間、じっくり取り組めばいいでしょう。
2023.03.22 20:54

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop