ホーム > 情報処理安全確保支援士試験 > 2021年 秋期
情報処理安全確保支援士試験 2021年 秋期 午前2 問10
cookieにSecure属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
ア:cookieに設定された有効期間を過ぎると,cookieが無効化される。
イ:JavaScriptによるcookieの読出しが禁止される。
ウ:URL内のスキームがhttpsのときだけ,Webブラウザからcookieが送出される。(正解)
エ:WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスが一致するときだけ,Webブラウザからcookieが送出される。
解説
cookieにSecure属性を設定しなかったときと比較した,設定したときの動作【午前2 解説】
要点まとめ
- 結論:Secure属性を設定したcookieは、HTTPS通信時のみブラウザから送信されます。
- 根拠:Secure属性は通信の安全性を確保するため、暗号化された通信経路(HTTPS)でのみcookieを送信する仕様です。
- 差がつくポイント:Secure属性の役割を正確に理解し、HTTPとHTTPSの違いを区別できることが重要です。
正解の理由
選択肢ウは「URL内のスキームがhttpsのときだけ、Webブラウザからcookieが送出される」と述べており、Secure属性の本質を正しく表現しています。Secure属性は、cookieの送信をHTTPS通信に限定し、通信経路の盗聴や改ざんリスクを低減するために使われます。これにより、HTTP通信時にはcookieが送信されず、セキュリティが向上します。
よくある誤解
Secure属性はJavaScriptからのアクセス制限ではなく、通信経路の制限を行います。また、有効期間やパスの制御とは別の機能であるため混同しやすいです。
解法ステップ
- cookieのSecure属性の意味を確認する。
- Secure属性は通信経路(スキーム)に依存することを理解する。
- 選択肢の内容がSecure属性の仕様に合致しているかを検証する。
- HTTPS限定でcookieが送信される選択肢を選ぶ。
選択肢別の誤答解説
- ア: 有効期間はcookieのExpiresやMax-Age属性で制御され、Secure属性とは無関係です。
- イ: JavaScriptによるcookieの読み出し制限はHttpOnly属性の役割であり、Secure属性ではありません。
- ウ: HTTPS通信時のみcookieが送信されるため正解です。
- エ: パスの制御はPath属性の役割であり、Secure属性とは異なります。
補足コラム
Secure属性は、特にログイン情報やセッションIDなどの重要なcookieに設定することで、通信の盗聴リスクを減らし、セキュリティを強化します。近年はHTTPSが標準化されつつあるため、Secure属性の利用が推奨されています。また、Secure属性とHttpOnly属性は併用されることが多く、前者は通信経路の保護、後者はスクリプトからのアクセス制限を担います。
FAQ
Q: Secure属性が設定されたcookieはHTTP通信で送信されますか?
A: いいえ、Secure属性が設定されたcookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
A: いいえ、Secure属性が設定されたcookieはHTTPS通信時のみ送信され、HTTP通信では送信されません。
Q: Secure属性はJavaScriptからのcookieアクセスを制限しますか?
A: いいえ、JavaScriptからのアクセス制限はHttpOnly属性が担当し、Secure属性は通信経路の制限に関わります。
A: いいえ、JavaScriptからのアクセス制限はHttpOnly属性が担当し、Secure属性は通信経路の制限に関わります。
関連キーワード: cookie, Secure属性, HTTPS, HTTP, Webセキュリティ, セッション管理, HttpOnly属性, Path属性, Expires属性