情報処理安全確保支援士令和2年秋期 午前U 問12

午前U 問12

WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。
  • Webサーバでは,cookie発行時に"Secure="に続いて時間を設定し,Webブラウザは,指定された時間を参照し,指定された時間を過ぎている場合にそのcookieを削除する。
  • Webサーバでは,cookie発行時に"Secure="に続いてホスト名を設定し,Webブラウザは,指定されたホスト名を参照し,指定されたホストにそのcookieを送信する。
  • Webサーバでは,cookie発行時に"Secure"を設定し,Webブラウザは,それを参照し,HTTPS通信時だけそのcookieを送信する。
  • Webサーバでは,cookie発行時に"Secure"を設定し,Webブラウザは,それを参照し,Webブラウザの終了時にcookieの他の属性によらず,そのcookieを削除する。
  • [この問題の出題歴]
  • 情報セキュリティ H26春期 問10
  • 情報セキュリティ H27秋期 問13

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

Secure属性は、個々のcookieの動作を制御する属性の1つで、これが設定されたcookieは「HTTPS通信の場合のみ、WebブラウザからWebサーバに送信される」ようになります。cookieには認証情報等が含まれているので、盗聴の可能性がある非暗号化通信では窃取されてしまうおそれがあります。Secure属性を設定しておけば、HTTPのURLでアクセスしたときにcookieが送信されないので安全です。

したがって適切な記述は「ウ」です。

なお、cookieを発行する際に指定できる属性には"Secure"の他に以下の属性があります。
Domain
cookieを送信するドメインを指定する属性
Path
cookieを送信するURLディレクトリを指定する属性
Expires
cookieの有効期限を指定できる属性。指定しない場合の期限はブラウザを閉じるまで
HttpOnly
この属性が設定されたcookieはJavaScriptからアクセスできなくなる
SameSite
ドメインをまたぐcookieの送信を制御する。cookieの送信元を制限することでCSRF攻撃を防ぐ
  • Secure属性は、cookieの有効期限とは関係ありません。記述はExpires属性についてのものです。
  • 記述はDomain属性についてのものです。
  • 正しい。Secure属性についての記述です。
  • Secure属性はcookieの有効期限とは関係ありません。ブラウザを閉じるときにcookieを消したいときは、Expires属性を設定しないか、値として0を設定します。
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop