攻撃者が、Webアプリケーションのセッションを乗っ取り、そのセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として、最も適切なものはどれか。
ア | Webブラウザとの間の通信を暗号化する。 |
イ | 発行済セッションIDをCookieに格納する。 |
ウ | 発行済セッションIDをHTTPレスポンスボディ中のリンク先のURLのクリア文字列に設定する。 |
エ | パスワードによる利用者認証を行う。 |
答え エ
【解説】
セッションが攻撃者に乗っ取られるセッションハイジャックが起きたとき、Webアプリケーションが重要な情報をWebブラウザに送信しても情報漏えいが発生しないようにするには、重要な情報を送信する前に、利用者が正当なことを確認するパスワードによる利用者認証を行う(エ)ことが有効です。
【キーワード】
・セッションハイジャック