おはようございます、ブログの3男、佐藤です。
先週は午後の問1に手を出したところでした。そのうちの半分やってましたので、
今日は残り、設問3と4を見てみましょう。手元に問題文か過去問を
ご用意ください。それでは続きへいきましょう。
さて設問3。
表1の◯1(原因)に対応する指摘事項は「任意ファイルのダウンロードができてしまう」ということでした。
これが問題となる以上、「任意ファイルのダウンロードをさせない」ということが必要になるわけです。
- ア → 存在しさえすればダウンロードさせてしまってはダメですね、論外
- イ → アと同じ、というよりは相対パスから絶対パスに内部的には変換されるところもあるでしょう、論外論外
- ウ → 取引企業毎のデータストアを用意し、個別にファイルをもつようにすれば、ストアごとにアクセス権を設定することで、対象外の場所へのアクセスを制御できそうですね、この中では一番マシに思えます、今までの中で一番妥当かと思います
- エ → 一覧を見せてもアドレス欄に適当に書いたら落とせてしまうことでしょう、ダメですね
結局のところ、ウ以外に答えがないという状況です。
設問4、ある意味設問3よりひどい。間違え放題じゃないですか。
この間違え放題、悪用すると、 すべての可能性を送りつけることができる というもので、すごく…力技…です。
ちなみにこんなのを ブルートフォースアタック と称しています。ポパイのライバル(?)ブルータスはこのあたりが語源だったりします。
ということはこのブルートフォースをどうブロックするか…ですが、いろいろあると思います。例えば…
- 同一IPアドレスからのログイン試行数を制限する
- 同一ユーザ名に対するログイン試行数を制限する
- 多要素認証(携帯電話の併用など)でログイン方法そのものを変えてしまう
なんてのがさっと思い浮かぶようならまあいいかと。
あ、答えを忘れてました。イですね。アはアで問題ですが、ブルートフォースではない。
ウやエは前述の多要素認証まわりで緩和(確実とは言いません)できますかね。
ちなみに逆というのもあって、パスワードほぼ固定でログインユーザー名を変えていくという方式です。
複数回同一アカウントで間違うとロックされますが、こちらはけっこう緩いためチェックし続けることができるケースが多いみたいです。
ということで問1でした。次はどのあたりを攻めましょうか… 問2を考えていたらおにーさんにやられちゃってますので、別のとこで攻めてみますね。
…4あたり、いかがですか?
2015年(平成27年度)春期の解説
- 平成27年度 春 基本情報技術者試験 【問13】(その2)
- 平成27年度 春 基本情報技術者試験 【問13】(その1)
- 平成27年度 春 基本情報技術者試験 【問8】(その2)
- 平成27年度 春 基本情報技術者試験 【問8】(その1)
- 平成27年度 春 基本情報技術者試験 【問4】(その2)
- 平成27年度 春 基本情報技術者試験 【問3】
- 平成27年度 春 基本情報技術者試験 【問7】
- 平成27年度 春 基本情報技術者試験 【問4】(その1)
- 平成27年度 春 基本情報技術者試験 【問5】
- 平成27年度 春 基本情報技術者試験 【問1】(その2)
- 平成27年度 春 基本情報技術者試験 【問6】
- 平成27年度 春 基本情報技術者試験 【問1】(その1)
- 平成27年度 春 基本情報技術者試験 【問2】
- Date:
- この記事を
友だちに教える - LINE
- - HatenaBookmark
- GooglePlus
