- トップページ
- 高度共通 午前1
- 平成24年度秋季問題
- 平成24年度秋季解答・解説
平成24年度秋季解答
問題11
JavaScriptなどのスクリプト言語を使って、Webブラウザに組み込まれているサーバとの非同期通信機能を利用する技術であり、地図の高速なスクロールや、キーボード入力に合わせた検索候補の逐次表示などを実現するものはどれか。
| ア | Ajax |
| イ | CSS |
| ウ | DOM |
| エ | SAX |
解答:ア
<解説>
| ア | ○ | Ajaxは、ウェブブラウザ内で非同期通信とインターフェイスの構築などを行う技術の総称である。Webブラウザに実装されているJavaScriptのHTTP通信機能を使って、Webページのリロードを伴わずにサーバとXML形式のデータのやり取りを行って処理を進めていく対話型Webアプリケーションの実装形態。 |
| イ | × | CSS(Cascading Style Sheets)とは、HTML や XML の要素をどのように修飾(表示)するかを指示する、W3Cによる仕様の一つである。 |
| ウ | × | DOM(Document Object Model) は、W3Cから勧告されている HTML文書やXML文書をアプリケーションから利用するためのAPIである。 |
| エ | × | SAX(Simple API for XML)とは、XML文書をアプリケーションソフトウェアから利用するためのAPIである。 |
問題12
SSLによるクライアントとWebサーバ間の通信手順(1)~(5)において、a、bに入る適切な組合せはどれか。 ここで、記述した手順は、一部簡略化している。
(1) クライアントからのSSLによる接続要求に対し、Webサーバは証明書をクライアントに送付する。
(2) クライアントは、保持している【 a 】によってこのサーバ証明書の正当性を確認する。
(3) クライアントは、共通鍵生成用のデータを作成し、サーバ証明書に添付された【 b 】によってこの共通鍵生成用データを暗号化し、Webサーバに送付する。
(4) 受け取ったWebサーバは、自らの秘密鍵によって暗号化された共通鍵生成用データを復号する。
(5) クライアントとWebサーバの両者は、同一の共通鍵生成用データによって共通鍵を作成し、これ以降の両者間の通信は、この共通鍵による暗号化通信を行う。
解答:ウ
<解説>
[ a ]、[ b ]に適切な語句を設定すると、次のような手順になる。
| (1) | クライアントからのSSLによる接続要求に対し、Webサーバはサーバ証明書をクライアントに送付する。 | |
| (2) | クライアントは保持している[a:認証局の公開鍵]によってこのサーバ証明書の正当性を確認する。 | |
| (3) | クライアントは、共通鍵生成用のデータを作成し、サーバ証明書に添付された[b:Webサーバの公開鍵]によってこの共通鍵生成用データを暗号化し、Webサーバに送付する。 | |
| (4) | 受け取ったWebサーバは、自らの秘密鍵によって暗号化された共通鍵生成用データを復号する。 | |
| (5) | クライアントとWebサーバの両者は、同一の共通鍵生成用データによって共通鍵を作成し、これ以降の両者間の通信は、この共通鍵による暗号化通信を行う。 |
したがって、ウが正解である。
問題13
シングルサインオンの説明のうち、適切なものはどれか。
| ア | クッキーを使ったシングルサインオンの場合、サーバごとに認証情報を含んだクッキーをクライアントで生成し、各サーバ上で保存、管理する。 |
| イ | クッキーを使ったシングルサインオンの場合、認証対象の各サーバを、異なるインターネットドメインに配置する必要がある。 |
| ウ | リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバを、異なるインターネットドメインにする必要がある。 |
| エ | リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
解答:エ
<解説>
シングルサインオンとは、一度の認証処理によって複数のコンピュータ上のリソースが利用可能になる認証機能である。
シングルサインオンによってユーザは複数のIDやパスワードを覚えておく負担から解放される。
| ア | × | クッキーを使ったシングルサインオンの場合、サーバごとの認証情報を含んだクッキーをクライアントで生成し、各クライアント上で保存、管理する。 |
| イ | × | クッキーを使ったシングルサインオンの場合、認証対象の各サーバを同一のインターネットドメインに配置する必要がある。 |
| ウ | × | リバースプロキシを使ったシングルサインオンの場合、認証対象の各Webサーバをインターネットドメイン(インターネットドメインは異なっていても同一のドメインでも可)に配置する必要がある。 |
| エ | ○ | リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。 |
問題14
暗号方式に関する記述のうち、適切なものはどれか。
| ア | AESは公開鍵暗号方式、RSAは共通鍵暗号方式の一種である。 |
| イ | 共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。 |
| ウ | 公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化に使用する鍵を秘密にして、復号に使用する鍵を公開する。 |
| エ | ディジタル署名に公開鍵暗号方式が使用されることはなく、共通鍵暗号方式が使用される。 |
解答:イ
<解説>
| ア | × | AESは共通鍵暗号方式、RSAは公開鍵暗号方式の一種である。 |
| イ | ○ | 共通鍵暗号方式では、暗号化及び復号に使用する鍵が同一である。 |
| ウ | × | 公開鍵暗号方式を通信内容の秘匿に使用する場合は、暗号化に使用する鍵を公開にして、復号に使用する鍵を秘密にする。 |
| エ | × | ディジタル署名には、公開鍵暗号方式が使用される。 |
問題15
安全なWebアプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。
解答:ア
<解説>
| ア | ○ | SQLインジェクション | SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことである。 静的プレースホルダでは、SQL を準備する段階で SQL 文の構文が確定し、後から SQL 構文が変化することがないため、パラメータの値がリテラルの外にはみ出す現象が起きません。その結果として、SQL インジェクションの脆弱性が生じない。 |
| イ | × | クロスサイトスクリプティング | クロスサイトスクリプティングとは、動的にウェブページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。 クロスサイトスクリプティングの対策は、いくつかの例外を除き、出力値のエスケープを適切に施すことである。 |
| ウ | × | クロスサイトリクエストフォージェリ | クロスサイトリクエストフォージェリとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法である。 サーバ側でクロスサイトリクエストフォージェリを防ぐには、サイト外からのリクエストの受信を拒否する必要がある。ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェックしたり、フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェックしたり、コンピュータが読み取れないよう画像として表示したチェックコードの入力をユーザに要求するなどの対策が有効である。 |
| エ | × | セッションハイジャック | セッションハイジャックとは、ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり操作を行なう攻撃である。 セションIDの値を推測困難なものにしたり暗号化してデータの送受信を行なうなどの対策が有効である。 |
お問い合わせ
