通信の強制保護
情報セキュリティマネジメント試験「HSTS」の問題
WebサーバがブラウザにHTTPSでの接続を強制し、以後の平文HTTP接続を自動的に拒否させるHTTPの仕組みはどれか。
ア応答ヘッダで指定し以後の接続を常にHTTPSへ強制してHTTPを使わせない仕組み。
イ広告表示の最適化に用いる識別子を利用者の端末に保存しておくための仕組み。
ウ閲覧履歴やフォーム入力を端末側に保存しておき、再訪問した際の入力の手間を省くための利便機能である。
エ画像やスクリプトを端末側に保存しておき、同じサイトへ再訪問した際の表示を高速化するための仕組み。
正解
ア.応答ヘッダで指定し以後の接続を常にHTTPSへ強制してHTTPを使わせない仕組み。
HSTSはStrict-Transport-Securityヘッダで有効期間を宣言し、ブラウザがその間は当該サイトへ必ずHTTPSで接続するため、平文への降格や中間者による盗聴を防げる。
?選択肢ごとの解説
ア ○HSTSはStrict-Transport-Securityヘッダで有効期間を宣言し、ブラウザがその間は当該サイトへ必ずHTTPSで接続するため、平文への降格や中間者による盗聴を防げる。
イ ×識別子の保存はトラッキングの話で、HTTPS接続を強制するHSTSとは仕組みが異なる。
ウ ×入力の保存は利便機能で、接続をHTTPSへ強制して降格を防ぐHSTSとは目的が異なる。
エ ×資源のキャッシュは表示高速化が目的であり、通信を常時暗号化に強制するHSTSとは無関係である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w2-0005
