スゴ技

平成27年度 春 基本情報技術者試験 【問1】(その1)

Blog:IT・情報処理BLOG |

おはようございます、ブログの3男、佐藤です。
先週は国家試験で頭が疲れてしまった、という方も多かったと思いますが、1周間も経てば少しは落ち着く頃でしょう。
このあたりで問題文を再読し、自分の考えを収束させていきましょう。

今回は午後の問1を見てみたいと思います。
お手元に問題用紙か過去問を用意し、軽くさっと解き直してから次へどうぞ。

問題のバックグラウンドを読む前に、設問1を確認しましょう、それから問題読んでも遅くありません。設問1は、HTTPS(暗号化されたHTTP)がどの範囲で使われているか、その範囲を指摘する問題です。

(紙の上での)6ページ冒頭に、RPSという見慣れない(?)機構の説明が入っています。

  • デジタル証明書を持っている
  • 取引先PCはRPSにHTTPSでアクセスする
  • HTTPSをHTTPに変換する

あれ? HTTPに変換するのはいいけど、HTTPを処理するべきWebサーバはFW2の後ろにいます。つまり、取引先とのやりとりをもう少し付け加えるとすると、こうなると考えられます。

  • 取引先はRPS上でHTTPSによる暗号化通信を行う … ※
  • RPSはHTTPS通信内の暗号を復号化し、HTTPとしてFW2の後ろにいるWebサーバにデータをまわす
  • 実際の取引処理周辺はFW2の内側で行う

もう気づきましたね。RPSって、
R everse P roxy S erver
のことではなかろうか、と…

HTTPSによる暗号処理(暗号化、復号化、その準備に必要な処理)にはそれなりのコストが発生するため、作業を分担しているのと、ロジック部分は内側に隠しておきたいという思惑でしょうか。

こうなると、RPSへ行くまでが暗号化されるべき(HTTPSで通信されるべき)場所となることもわかりますね(※)。すると経路上を流れているデータがHTTPS通信によるものとなります。

  • 取引先PC 〜 FW3
  • FW3 〜 インターネット経由 〜 FW1
  • FW1 〜 RPS

の3ヶ所が該当する経路です。表2と組み合わせてみましょう。

  • 取引先PC 〜 FW3 → 経路番号1
  • FW3 〜 インターネット経由 〜 FW1 → 経路番号2
  • FW1 〜 RPS → 経路番号3

ということで1,2,3が該当する場所であり、選択肢からするとですね。
あらまあっさり。

ついでに設問2もやっておきましょうか。実は設問2は、設問1のためにバックグラウンドをさっくり眺めている最中に片がつくという、おまけのような問題です。構成上、バックグラウンドと設問1の間に空欄の箇所があるんですもの

  • 想定されていない操作をDBに実行させてDBに不正アクセスするような攻撃ってなに(空欄a)
  • 攻撃者によってWebページ内にスクリプトが埋め込まれてしまう(→見た人がそのスクリプトをローカルで実行してしまう)攻撃ってなに?(空欄b)

ええ、知識問題です。SQL(DBだけにとりあえずコレ)に変なSQLを紛れ込ませて実行してしまう攻撃手法の代名詞といえば SQLインジェクション ですね(→Wikipedia:SQLインジェクション)。
攻撃者により悪意のあるスクリプトを埋め込まれ、実行することがある手法は クロスサイトスクリプティング ですね(→ Wikipedia:クロスサイトスクリプティング)。はい、終わりました。空欄aは 、 空欄bは になります。

残り設問3,4とおまけ(あれば)については、また来週にしましょうか。

2015年(平成27年度)春期の解説

Date:

神戸電子の
IT・情報処理学科
についてもっと知りたい!

Webアプリケーション等のシステム管理、設計、開発が行える総合的なITエンジニアを育成する学科です。

学科紹介を見る (神戸電子サイト)

学科紹介イメージ
Info神戸電子からのお知らせ

Tagタグ

Teamライターチーム紹介

神戸電子オフィシャルSNS

オープンキャンパスなどの
誰でも参加OKの楽しいイベント
やブログの最新記事などお届けします!

ページの上へ移動