HOME»情報処理安全確保支援士掲示板»午後2 問2 設問5 (1)について疑問
投稿する

午後2 問2 設問5 (1)について疑問 [1137]

 bracoさん(No.1) 
お疲れ様です。

表題の件です。
設問内容は「第3者によるXトークンの取得操作について」であり、
TACの回答例を見ると「OSS リポジトリにアクセスし,ファイル Z を含む変更履歴をダウンロードする。」とありますが、問題文22Pを見ると、「ファイルZがアップロードされてから削除されるまでの間にダウンロードされていなかった」とあります。

100%正しいかどうかはさておき、TACの回答例のニュアンスは正しいのでしょうか。

ちなみに当方は「OSSリポジトリにアクセスし、Xトークンをスクリーンショットする」と回答しました。


みなさんの見解を頂けますと幸いです。

ちなみに当方はこの分野に疎く、日本語読解の問題と捉え回答しました。
2023.04.21 11:55
たにとさん(No.2) 
gitやSVNを使用した経験がないとイメージしにくいと思うので、「git 差分」といったキーワードで画像検索してみてください。
画面左に古いソース、画面右に新しいソースが表示されて、差分箇所(一致しない箇所)に色がついて明示されます。
Zファイル削除時の変更履歴を見ると、画面左にZファイルの内容(Xトークン入り)、画面右は空白(削除なので何もなし)が表示されます。
このときに画面左を見れば、Xトークンが丸わかりになってしまいます。

ファイルZ自体はOSSリポジトリから削除されていますが、特定の時点でのファイルZの中身は変更履歴として残っているということです。
よって、TACの回答例は正しいと考えます。
2023.04.21 12:06
 bracoさん(No.3) 
たにとさん

ありがとうございました
大凡理解できました。

自己採点の結果、TACの配点があっていれば恐らく4科目すべて合格なのですが、今後もアプリケーションの勉強は続けていこうと思いました🙏
2023.04.21 15:52
0xffffさん(No.4) 
過去のコミットを遡るのって「不正」というのかと思い
候補には上げていたものの回答に書くことができませんでした。

過去のコミットを遡るのって不正になるんですかね。
本当に遡られたくなかったらforce pushやらrevertで消せばいいのにと思ってしまいました。
2023.04.22 02:03
たにとさん(No.5) 
>0xffffさん
公開したくなくて削除された情報を取得したことが「不正」なのだと解釈しています。

変更履歴を消せば良かったというのはその通りで、サービスEでも承認権限を持つ人が変更履歴を削除できました。

本問ではF社は以下2点のミスを犯しています。
①最小権限の原則に反していたせいでZファイルをOSSリポジトリにあげてしまった
②①の対処としてZファイルを削除し漏えい確認もしたが、変更履歴の削除はしていなかった

以上の点を踏まえて解答することが期待されていたのだと思われます。
2023.04.22 02:44
ジェイソンさん(No.6) 
横から失礼いたします。
私もこの手の分野はさっぱりで、極端な話リポジトリって何の鳥?ってレベルであったため、国語の問題のつもりでしたので的外れな回答しかできませんでした。
バージョン管理ツールについて、この機会に知ることができました。たにとさん、丁寧なご説明ありがとうございました。
2023.04.22 19:05
kkさん(No.7) 
この投稿は投稿者により削除されました。(2023.04.24 11:49)
2023.04.24 11:49
たにとさん(No.8) 
>kkさん
変更履歴というワードを含めなくても問題ない根拠を述べていただけると、より議論が進むかと思います。
私の考えは、ここの返信や、[1139]午後2 問2 設問5 (1)について質問 に書いております。

なお、問題文中には「ソースコードをダウンロードせず閲覧だけする機能」について記載がありません。
ですので、閲覧だけしてスクリーンショット等で持ち出したという解釈はできないと思われます。
2023.04.24 11:22

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop