令和3年春期試験午前問題 午前Ⅱ 問15

午前Ⅱ 問15解説へ
HSTS(HTTP Strict Transport Security)の説明はどれか。

  • HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webブラウザから当該サイトへのその後のアクセスを強制的にHTTP over TLS(HTTPS)にする。
  • HSTSを利用するWebサイトにWebブラウザがHTTPでアクセスした場合,Webページの文書やスクリプトについて,あるオリジンから読み込まれたリソースから他のオリジンのリソースにアクセスできないように制限する。
  • HTTPSで通信が保護されている場合にだけ,cookieの属性によらず強制的にcookieを送信する。
  • 信頼性が高いサーバ証明書を有するWebサイトとのHTTPS通信では,Webブラウザに鍵マークを表示する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
HSTS(HTTP Strict Transport Security)は、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。
//アクセスから365日間、サブドメインも含めてHTTPS接続を強制
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
WebサイトをHTTPS化した際には 301 HTTP リダイレクトを使用して、HTTPのアドレスにアクセスした利用者をHTTPSページに転送する設定を行うのが一般的ですが、初回のHTTPアクセスは暗号化されていないため、HTTPSページへのリダイレクト前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性が残されています。

HSTSをサポートしているWebサイトでは、HTTPでアクセスしようとしたWebブラウザに対して、(コンテンツを返さずに)レスポンスヘッダーでHSTSを通知します。HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトするとともに、この情報を記録しておき、以降の指定された期間、このサイトへの接続の全てをHTTPSとします。これにより、次回からはHTTPのアドレスにアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得しに行くようになるため、セキュリティを高めることができます。

したがって「ア」が適切な説明です。
  • 正しい。HSTSの説明です。
  • Webブラウザが提供するセキュリティ機能である「同一オリジンポリシ」の説明です。
  • cookieの属性によらず強制的にcookieを送信させる仕組みはありません。
  • Webブラウザの動作です。有効なサーバ証明書でありHTTPSが有効であれば信頼性にかかわらず鍵マークが表示されます。

Pagetop