▼AP令和3年度春期:問44 Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで、利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。
ア WebサーバにおいてセッションIDを内蔵ストレージに格納する。
イ WebサーバにおいてセッションIDを無効にする。
ウ WebブラウザにおいてキャッシュしているWebページをクリアする。
エ WebブラウザにおいてセッションIDを内蔵ストレージに格納する。
▼上に出てきた用語の意味
【セッション session】コンピュータシステムやネットワーク通信において、接続 /ログインしてから、切断 / ログオフするまでの、一連の操作や通信のこと。(IT用語辞典 e-Words)
【セッションの乗っ取り セッションハイジャック session hijacking 】ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり操作を行なう攻撃。(IT用語辞典 e-Words)
【Webサーバ web server】Webシステム上で、利用者側のコンピュータに対しネットワークを通じて情報や機能を提供するコンピュータおよびソフトウェアのこと。(IT用語辞典 e-Words)
【Webブラウザ web browser】Webページを閲覧するためのアプリケーションソフト。利用者の指定したWebページを管理するWebサーバへデータの送信を要求し、送られてきたHTMLファイルや画像ファイルなどを読み込んで指定されたレイアウトで表示する。(IT用語辞典 e-Words)
【キャッシュ cache】低速な記憶装置や伝送路から読み出したデータのうち、直近に読み込んだものや使用頻度が高いものを高速な記憶装置に複製しておくこと。また、その際に使われる高速な記憶装置や、複製されたデータそのもののこと。データの読み込みを高速化したり、伝送量を削減することができる。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
61. 情報セキュリティ >(4) 攻撃手法:情報システム、組織及び個人への外部からの不正な行為と手法、及びそれらへの対策の概要
〔用語例〕セッションハイジャック
▼比較:FEのシラバスでの位置付け
1.情報セキュリティ >(7)攻撃手法:情報システム、組織及び個人への不正な行為と手法
〔用語例〕セッションハイジャック
解答イ