ホーム > 情報処理安全確保支援士試験 > 2016年 秋期
情報処理安全確保支援士試験 2016年 秋期 午前2 問09
Cookieにsecure属性を付けなかったときと比較した、付けたときの動作の差はどれか。
ア:Cookieに指定された有効期間を過ぎるとCookieが無効化される。
イ:JavaScriptによるCookieの読出しが禁止される。
ウ:URLのスキームがhttpsのページのときだけWebブラウザからCookieが送出される。(正解)
エ:WebブラウザがアクセスするURL内のパスとCookieによって指定されたパスのプレフィックスが一致するときWebブラウザからCookieが送出される。
解説
Cookieにsecure属性を付けなかったときと比較した、付けたときの動作の差【午前2 解説】
要点まとめ
- 結論:secure属性を付けると、CookieはHTTPS通信時のみブラウザから送信されます。
- 根拠:secure属性はCookieの送信を安全な通信経路(HTTPS)に限定し、盗聴リスクを低減します。
- 差がつくポイント:secure属性の役割を正確に理解し、HTTPとHTTPSの違いを区別できることが重要です。
正解の理由
secure属性を付けたCookieは、通信の安全性を確保するためにHTTPS(暗号化通信)でのみブラウザからサーバへ送信されます。これにより、HTTP通信時にCookieが送信されることによる盗聴や改ざんのリスクを防止します。選択肢ウはこの動作を正確に表しているため正解です。
よくある誤解
secure属性はJavaScriptからのアクセス制限やCookieの有効期間には影響しません。パス属性は送信条件の別の側面であり、secure属性とは異なります。
解法ステップ
- Cookieのsecure属性の意味を確認する。
- secure属性が付くと通信経路がHTTPSに限定されることを理解する。
- 選択肢の内容をsecure属性の機能と照らし合わせる。
- HTTPS限定送信を示す選択肢を選ぶ。
選択肢別の誤答解説
- ア: 有効期間はexpiresやmax-age属性で制御され、secure属性とは無関係です。
- イ: JavaScriptのCookieアクセス制限はHttpOnly属性によるもので、secure属性ではありません。
- ウ: HTTPS通信時のみCookieが送信されるというsecure属性の正しい説明です。
- エ: パス属性による送信制限は別の機能であり、secure属性の説明としては不適切です。
補足コラム
secure属性はWebセキュリティの基本的な対策の一つで、特にログイン情報などの重要なCookieに設定されます。これにより中間者攻撃(MITM)によるCookieの盗聴リスクを軽減できます。なお、secure属性が付いていても、HTTP通信ではCookieは送信されないため、サイト全体をHTTPS化することが推奨されます。
FAQ
Q: secure属性が付いたCookieはHTTP通信で送信されますか?
A: いいえ、secure属性が付いたCookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
A: いいえ、secure属性が付いたCookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
Q: JavaScriptからCookieを読み取れなくするにはどうすればよいですか?
A: HttpOnly属性を付けることでJavaScriptからのCookieアクセスを禁止できます。secure属性とは別の機能です。
A: HttpOnly属性を付けることでJavaScriptからのCookieアクセスを禁止できます。secure属性とは別の機能です。
関連キーワード: Cookie, secure属性, HTTPS, Webセキュリティ, HTTP, HttpOnly, パス属性, 中間者攻撃, 通信暗号化