HOME»情報処理安全確保支援士掲示板»H31春  午後1問2  設問1、2
投稿する

H31春  午後1問2  設問1、2 [1109]

 サワさん(No.1) 
公開鍵、秘密鍵のシーケンスについて
調べても仕組みが不明なのですが、オーセンティケータはすべてのユーザーの秘密鍵を持っているのでしょうか?

HSTSについて
「HTTPでアクセスした場合はHTTP over TLSのURLにリダイレクトされる仕様になっており、HSTS(HTTP Strict Transport Security)は実装されていない。」
HSTSが実装されていなくても、リダイレクトされる仕様とあるのでHTTPSにリダイレクトされると思いますが、なぜHTTPアクセスになるのでしょうか?
2023.04.12 08:03
たにとさん(No.2) 
○HSTSについて
メールサービスPの正規のWebサーバにHTTPでアクセスした場合は、正規のWebサーバの実装により、HTTP over TLSのURLへリダイレクトするようレスポンスが返されます。

攻撃者が用意したWebサーバにHTTPでアクセスした場合は、攻撃者が実装した内容でレスポンスが返されます。本問では、リダイレクトさせずHTTPのまま通信を継続したと考えられます。
2023.04.12 08:14
 サワさん(No.3) 
回答ありがとうございます。

それだと、HSTSの有無は関係ない(引っ掛け)という認識でよろしいでしょうか?
2023.04.12 09:57
たにとさん(No.4) 
この投稿は投稿者により削除されました。(2023.04.12 11:19)
2023.04.12 11:19
たにとさん(No.5) 
この投稿は投稿者により削除されました。(2023.04.12 11:28)
2023.04.12 11:28
たにとさん(No.6) 
いいえ、HSTSの有無は関係あります。HSTSが実装されていれば、本問のセキュリティインシデントは発生していません。

仮にメールサービスPにHSTSが実装されていたとします。
PC-Sは、セキュリティインシデント発生前に、メールサービスPの正規のWebサーバにHTTPでアクセスしていると考えられます。
このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。
PC-Sのブラウザはこの通知を覚えておき、SさんがメールサービスPのHTTPのFQDNを手入力したとしても、HTTPSに変換してアクセスします。

この状態でホテルWi-Fiに接続したとします。
SさんがメールサービスPのHTTPのFQDNを手入力すると、ブラウザはHTTPSに変換してアクセスします。
最初からHTTPSで攻撃者が用意したWebサーバにアクセスすることになります。
HTTPSで接続されるので、サーバ証明書の検証が行われ、信頼できない旨のエラーが表示されます。
Sさんはエラーに気づくので、セキュリティインシデントは発生しません。

本問の状況では、本物のサーバにHSTSが実装されておらず、かつ、偽物のサーバにHTTPでアクセスしたことで、HTTP接続のままになっています。
どちらかといえば、HSTSの有無が本問のメインで、リダイレクトの方が引っかけになるかと思います。
2023.04.12 11:28
 サワさん(No.7) 
>このとき、HSTSの仕組みにより、メールサービスPの正規のWebサーバから、「今後○日間はHTTPでなくHTTPSでアクセスせよ」と通知されます。

max-ageの事ですよね?
とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。
2023.04.12 14:29
たにとさん(No.8) 
>とすれば、HSTSを実装していても、攻撃者のサーバーにアクセスした時にmax-ageが切れていればHTTPでアクセスされると思います。

はい、それはそうですね。しかし、この想像は本問では意味がありません。

HSTSが実装されていないので、メールサービスPのHTTPのFQDNを手入力すると、「確実に」攻撃者が用意したWebサーバにHTTPでアクセスしてしまう
というように、想像を挟まずに確実な推測ができるからです。
2023.04.12 15:04
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop