FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
B社のオンライン手続サイトでは,URLのパラメタにセッションIDを付けて受け渡しており,ログイン後もそのIDを使い続けている。利用者がメールで送られてきたリンクからサイトを開いて手続を進めたところ,そのリンクに含まれていたセッションIDが第三者にも知られており,手続内容を第三者に閲覧される事象が起きた。担当者がセッション管理の見直しを行う。
見直しとして,最も適切なものの組合せはどれか。
- ア セッションIDをURLではなくCookieで受け渡し,ログイン成功時に再発行する。
- イ 手続完了画面のデザインを刷新する。
- ウ セッションIDの桁数を減らして扱いやすくする。
- エ リンクのドメイン名を短く変更する。
- オ 手続の入力項目数を増やす。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:セッションIDをURLではなくCookieで受け渡し,ログイン成功時に再発行する。
正解:ア
状況の整理:セッションIDがURLに含まれているためリンク経由で第三者に漏れ,かつログイン後も同じIDを使い続けているため,攻撃者がそのIDでなりすませる。URL露出とセッション固定の複合問題。
なぜアか:Cookieでの受け渡しはURLやメールからのID漏えいを防ぎ,ログイン時の再発行は漏れたIDを無効化する。両方の弱点に対処できる。
誤答の理由:イ(デザイン)・エ(ドメイン名)・オ(入力項目)は無関係。ウ(桁数を減らす)はIDが推測されやすくなり,安全性をさらに下げる悪手。
読み解きのコツ:セッションIDがURLにあると漏えいの温床。Cookie化と再発行はセットで覚える。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。