HOME»情報処理安全確保支援士掲示板»令和5年秋午後問2設問1(3)
投稿する
令和5年秋午後問2設問1(3) [1843]
わからないさん(No.1)
DNSが細工されて偽サイトにアクセスする前提なので仮に正規サイトのHSTSの設定がブラウザに残っていてもHSTSは働かないのではと考えてしまいます。
偽サイトにHSTSが有効設定されていれば成り立つと思いますが、
そこは読み取ることはできず論点からずれているとのことでしたので
理解力がなく過去のスレッドを参考にしても理解できませんでした
https://www.sc-siken.com/bbs/1393.html#last
有識者の方よろしくお願いいたします
偽サイトにHSTSが有効設定されていれば成り立つと思いますが、
そこは読み取ることはできず論点からずれているとのことでしたので
理解力がなく過去のスレッドを参考にしても理解できませんでした
https://www.sc-siken.com/bbs/1393.html#last
有識者の方よろしくお願いいたします
2025.02.23 11:40
むぐむぐさん(No.2)
★SC ブロンズマイスター
HSTSがどのように動作するのかの認識が誤っているようです。
HSTSが設定され処理をするのはブラウザでありサーバではないです。サーバはこのドメインではHSTS有効にしてくださいという依頼ををブラウザにしているだけです。
本物のサイト(example.com)のレスポンスヘッダにHSTSがあり、過去に正規サイトにアクセスした事があるブラウザの場合、ブラウザはhttp://example.comへアクセスする際には、アクセスを行う前にhttpsに自動的に上書きをしてアクセスを行います。
偽サイトのhttp://example.comへアクセスしようとした場合も、アクセスを行う前に動作しhttpsに書き換えて通信を行います。
偽サイトにアクセスする前に処理されるため、偽サイトのHTSTの設定の有無は関係ないのです。
※URLの投稿はできないため一部大文字にしています
HSTSが設定され処理をするのはブラウザでありサーバではないです。サーバはこのドメインではHSTS有効にしてくださいという依頼ををブラウザにしているだけです。
本物のサイト(example.com)のレスポンスヘッダにHSTSがあり、過去に正規サイトにアクセスした事があるブラウザの場合、ブラウザはhttp://example.comへアクセスする際には、アクセスを行う前にhttpsに自動的に上書きをしてアクセスを行います。
偽サイトのhttp://example.comへアクセスしようとした場合も、アクセスを行う前に動作しhttpsに書き換えて通信を行います。
偽サイトにアクセスする前に処理されるため、偽サイトのHTSTの設定の有無は関係ないのです。
※URLの投稿はできないため一部大文字にしています
2025.02.24 03:18
わからないさん(No.3)
ありがとうございます。
納得できました。
ブラウザに入力されたURLからHSTSが働いてhttpsに置き換えを行うのはアクセスする前で、そこからDNSで名前解決すると偽サイトにアクセスしてしまい、httpsなので偽サイトからサーバ証明書が送られてくる。
ということですね。
納得できました。
ブラウザに入力されたURLからHSTSが働いてhttpsに置き換えを行うのはアクセスする前で、そこからDNSで名前解決すると偽サイトにアクセスしてしまい、httpsなので偽サイトからサーバ証明書が送られてくる。
ということですね。
2025.02.24 10:17