Cookie制御

情報セキュリティマネジメント試験SameSite属性」の問題

情報セキュリティ対策・実装技術Cookie制御難易度:normal
別サイト起点の遷移ではCookieを送らないよう指定し、意図しない権限行使を抑止するCookieの属性はどれか。
Cookieを送信してよいのは暗号化された通信のときだけに限定し、平文の経路には乗せないようにする属性。
スクリプトからのCookieの参照を禁止し、盗み取られるのを防ぐための属性。
別サイトを起点とする遷移ではCookieの送信を抑え、なりすまし要求を防ぐ属性。
Cookieに有効期限を設定し、ブラウザを終了して再び開いた後でも一定期間は保持させ続けるための属性。
正解
別サイトを起点とする遷移ではCookieの送信を抑え、なりすまし要求を防ぐ属性。

SameSite属性はCookieを同一サイト発の要求に限って送るよう制御でき、別サイトに仕込まれたリンクやフォームからの不正要求にCookieが付かないためCSRFを緩和する。

?選択肢ごとの解説

ア ×暗号化通信時だけ送るのはSecure属性で、別サイト遷移での送信を制御するSameSiteとは役割が異なる。
イ ×スクリプトからの参照を禁止するのはHttpOnly属性で、送信元サイトを基準とするSameSiteとは目的が違う。
ウ ○SameSite属性はCookieを同一サイト発の要求に限って送るよう制御でき、別サイトに仕込まれたリンクやフォームからの不正要求にCookieが付かないためCSRFを緩和する。
エ ×有効期限を定めて保持させるのはExpires等の属性で、送信可否を制御するSameSiteとは別の機能である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0019

【情報セキュリティマネジメント試験】SameSite属性の問題と解答・解説|ukamiru 過去問