Cookie保護
情報セキュリティマネジメント試験「セキュア属性付きCookie」の問題
暗号化されていない通信ではCookieをブラウザに送信させず、平文での漏えいを防ぐ属性はどれか。
アスクリプトからのCookieの参照を禁止し、盗み取られるのを防ぐための属性。
イ別のサイトを起点とする遷移ではCookieを送信せず、利用者になりすました不正な要求を成立させない属性。
ウページが読み込んでよい素材の取得元をサーバが宣言し、ブラウザに許可外の読込みを拒否させる属性。
エ暗号化された通信のときだけCookieを送信させ、平文の経路での漏えいを防ぐ属性。
正解
エ.暗号化された通信のときだけCookieを送信させ、平文の経路での漏えいを防ぐ属性。
Secure属性が付いたCookieはHTTPSなど暗号化された通信でのみ送信され、平文通信に乗らないため経路上での盗聴によるセッション情報の漏えいを防げる。
?選択肢ごとの解説
ア ×スクリプトからの参照を禁止するのはHttpOnly属性で、暗号化通信限定で送るSecure属性とは目的が異なる。
イ ×別サイト起点で送らないのはSameSite属性で、暗号化通信のみ送信を許すSecure属性とは判断基準が違う。
ウ ×取得元を宣言して読込みを制限するのはCSPで、Cookieの送信路を限定するSecure属性とは別物である。
エ ○Secure属性が付いたCookieはHTTPSなど暗号化された通信でのみ送信され、平文通信に乗らないため経路上での盗聴によるセッション情報の漏えいを防げる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0020
