ホーム > 情報処理安全確保支援士試験 > 2015年 秋期
情報処理安全確保支援士試験 2015年 秋期 午前2 問13
WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。
ア:ブラウザは,Cookieの“Secure=”に続いて指定された時間を参照し,指定された時間を過ぎている場合にそのCookieを削除する。
イ:ブラウザは,Cookieの“Secure=”に続いて指定されたホスト名を参照し,指定されたホストにそのCookieを送信する。
ウ:ブラウザは,Cookieの“Secure”を参照し,HTTPS通信時だけそのCookieを送信する。(正解)
エ:ブラウザは,Cookieの“Secure”を参照し,ブラウザの終了時にそのCookieを削除する。
解説
WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理【午前2 解説】
要点まとめ
- 結論:Secure属性が付いたCookieはHTTPS通信時のみブラウザから送信されます。
- 根拠:Secure属性はCookieの送信を安全な通信経路(HTTPS)に限定するための指定です。
- 差がつくポイント:Secure属性は送信条件の制御であり、時間やホスト名の制御ではない点を正確に理解することが重要です。
正解の理由
正解はウです。Secure属性はCookieの送信をHTTPS通信に限定するための属性であり、HTTP通信時にはブラウザはそのCookieを送信しません。これにより、Cookieの盗聴や改ざんリスクを低減します。選択肢ウはこの動作を正確に説明しています。
よくある誤解
Secure属性はCookieの有効期限や送信先ホストを制御するものではありません。これらはExpires属性やDomain属性で管理されます。
解法ステップ
- Cookieの属性にはSecure、Expires、Domainなどがあることを確認する。
- Secure属性の意味を「HTTPS通信時のみ送信」と理解する。
- 選択肢の説明とSecure属性の定義を照合する。
- HTTPS通信限定の送信を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア: Secure属性は時間管理をしません。時間管理はExpiresやMax-Age属性の役割です。
- イ: ホスト名の制御はDomain属性が担当し、Secure属性とは無関係です。
- ウ: 正解。Secure属性はHTTPS通信時のみCookieを送信することを示します。
- エ: ブラウザ終了時のCookie削除はSession属性(セッションCookie)に関係し、Secure属性の機能ではありません。
補足コラム
Secure属性はCookieのセキュリティ強化に重要です。HTTP通信では送信されないため、中間者攻撃(MITM)によるCookieの盗聴リスクを減らせます。さらに、HttpOnly属性と組み合わせることでJavaScriptからのアクセスも制限でき、より安全なCookie管理が可能です。
FAQ
Q: Secure属性が付いたCookieはHTTP通信で送信されますか?
A: いいえ、Secure属性が付いたCookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
A: いいえ、Secure属性が付いたCookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
Q: Cookieの有効期限はどの属性で管理されますか?
A: 有効期限はExpires属性やMax-Age属性で管理され、Secure属性とは別の役割です。
A: 有効期限はExpires属性やMax-Age属性で管理され、Secure属性とは別の役割です。
関連キーワード: Cookie, Secure属性, HTTPS, Webセキュリティ, HTTP通信, Cookie管理, セッション管理