HOME»情報処理安全確保支援士掲示板»平成31年度 春期 午後1 問2 No.1(3)
投稿する

平成31年度 春期 午後1 問2 No.1(3) [1094]

 ゆきさん(No.1) 
「HTTPで接続が開始されたから」という解答が模範解答ですが、問題文に「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」という記載があります。HTTP接続を試みる→HTTP over TLSのURLへリダイレクト→HTTPS通信となるためサーバ証明書の検証作業が発生すると考えたのですが、そうではないのでしょうか。
2023.04.09 13:01
たにとさん(No.2) 
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。

攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。このため、HTTPS通信にならず、証明書の検証もされません。
2023.04.09 14:42
 ゆきさん(No.3) 
たにとさんありがとうございます。
攻撃者のサイトにはHTTPSへリダイレクトする機能が存在しないから、証明書の検証がなされなかったのですね。
ありがとうございます
2023.04.09 14:55

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop