セッションIDの固定化

情報セキュリティマネジメント試験セッションフィクセーション対策」の問題

情報セキュリティ対策・実装技術セッションIDの固定化難易度:normal
攻撃者が用意したセッションIDを利用者に使わせ、ログイン後に成り済ます攻撃を防ぐ対策はどれか。
ログイン成功時にセッションIDを再発行し、事前に仕込まれた値を無効にする対策。
通信内容を暗号化して、経路上で盗聴されても内容を読まれないようにするための対策。
利用者の生体情報を読み取り、登録済みの特徴と照合して本人を確かめる対策。
失効した証明書の一覧を配布し、失効済みかどうかを確認できるようにする対策。
正解
ログイン成功時にセッションIDを再発行し、事前に仕込まれた値を無効にする対策。

セッションフィクセーション対策はログイン成功の直後にセッションIDを新しく発行し直すことで、攻撃者が事前に利用者へ使わせた既知のIDを無効化し、成り済ましを防ぐ。

?選択肢ごとの解説

ア ○セッションフィクセーション対策はログイン成功の直後にセッションIDを新しく発行し直すことで、攻撃者が事前に利用者へ使わせた既知のIDを無効化し、成り済ましを防ぐ。
イ ×通信の暗号化は内容の秘匿が目的で、ログイン時のID再発行で成り済ましを防ぐ本対策とは異なる。
ウ ×生体情報の照合は本人確認で、セッションIDの再発行を行うフィクセーション対策とは対象が異なる。
エ ×失効一覧の配布は証明書失効確認で、セッションIDの固定化を防ぐ本対策とは目的が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0021

【情報セキュリティマネジメント試験】セッションフィクセーション対策の問題と解答・解説|ukamiru 過去問