ホーム > 情報処理安全確保支援士試験 > 2014年 春期
情報処理安全確保支援士試験 2014年 春期 午前2 問10
Webサーバが HTTPS 通信の応答で cookie に Secure 属性を設定したときのブラウザの処理はどれか。
ア:ブラウザは、cookie の “Secure=” に続いて指定された時間を参照し、指定された時間を過ぎている場合にその cookie を削除する。
イ:ブラウザは、cookie の “Secure= ” に続いて指定されたホスト名を参照し、指定されたホストにその cookie を送信する。
ウ:ブラウザは、cookie の “Secure” を参照し、HTTPS 通信時だけその cookie を送信する。(正解)
エ:ブラウザは、cookie の “Secure” を参照し、ブラウザの終了時にその cookie を削除する。
解説
Webサーバが HTTPS 通信の応答で cookie に Secure 属性を設定したときのブラウザの処理【午前2 解説】
要点まとめ
- 結論:Secure 属性が付いた cookie は HTTPS 通信時のみブラウザから送信される仕様です。
- 根拠:Secure 属性は cookie の送信を安全な通信路(HTTPS)に限定し、盗聴や改ざんを防止します。
- 差がつくポイント:Secure 属性の役割を「送信制限」と正確に理解し、時間やホスト名とは無関係である点を押さえること。
正解の理由
Secure 属性は cookie の送信条件を制御するための属性であり、「HTTPS 通信時のみ cookie を送信する」ことをブラウザに指示します。これにより、HTTP(非暗号化通信)では cookie が送信されず、セキュリティリスクを低減します。選択肢ウはこの仕様を正確に表現しているため正解です。
よくある誤解
Secure 属性は有効期限やホスト名の制御に関係しません。これらは別の属性(Expires、Domain)で管理されます。
解法ステップ
- cookie の属性に関する基本知識を確認する。
- Secure 属性の意味を「HTTPS 通信時のみ送信」と理解する。
- 選択肢の内容を属性の役割と照らし合わせる。
- 時間やホスト名に関する説明がある選択肢は誤りと判断する。
- HTTPS 通信時の送信制限を正しく述べている選択肢を選ぶ。
選択肢別の誤答解説
- ア: Secure 属性は時間管理をしません。時間管理は Expires や Max-Age 属性の役割です。
- イ: ホスト名の制御は Domain 属性が担当し、Secure 属性とは無関係です。
- ウ: Secure 属性は HTTPS 通信時のみ cookie を送信することを指示し、正しい説明です。
- エ: ブラウザ終了時の cookie 削除は Session 属性(セッション cookie)に関係し、Secure 属性の機能ではありません。
補足コラム
Secure 属性は cookie のセキュリティ強化に重要な役割を果たします。HTTP 通信では cookie が平文で送信されるため、盗聴や改ざんのリスクがあります。Secure 属性を付与することで、cookie は暗号化された HTTPS 通信時のみ送信され、セキュリティが向上します。さらに、HttpOnly 属性と組み合わせることで、JavaScript からのアクセスも制限でき、クロスサイトスクリプティング(XSS)攻撃対策にもなります。
FAQ
Q: Secure 属性が付いた cookie は HTTP 通信で送信されますか?
A: いいえ、Secure 属性が付いた cookie は HTTPS 通信時のみ送信され、HTTP 通信では送信されません。
A: いいえ、Secure 属性が付いた cookie は HTTPS 通信時のみ送信され、HTTP 通信では送信されません。
Q: cookie の有効期限はどの属性で管理されますか?
A: 有効期限は Expires または Max-Age 属性で管理され、Secure 属性とは別の役割です。
A: 有効期限は Expires または Max-Age 属性で管理され、Secure 属性とは別の役割です。
関連キーワード: cookie, Secure属性, HTTPS, Webセキュリティ, HTTP通信, セッション管理, クッキー送信制御