攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,最も適切なものはどれか。
- Webブラウザとの間の通信を暗号化する。
- 発行済セッションIDをCookieに格納する。
- 発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。
- パスワードによる利用者認証を行う。
解答
エ
解説
- Webブラウザとの間の通信を暗号化する。
セッション乗っ取りに対しては効果がありません。 - 発行済セッションIDをCookieに格納する。
セッション乗っ取りに対しては効果がありません。 - 発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。
セッション乗っ取りに対しては効果がありません。 - パスワードによる利用者認証を行う。
適切です。
重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として有効です。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | セキュリティ実装技術 |
出題歴
- SC 平成29年度秋期 問14
