やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅱ問1設問3】No.1

設問3(1)

f:id:aolaniengineer:20190924203959p:plain

f:id:aolaniengineer:20190924204354p:plain

f:id:aolaniengineer:20190924204514p:plain

  • (サ)

 該当箇所は、「図6中の(Ⅰ)に示すように、有効なトークンがない場合、WebブラウザからWebAPへの情報要求は(サ)サーバにリダイレクトされる。」です。

 図6を順を追って見ていきましょう。WebブラウザからWebAPに情報要求を送信すると、リダイレクト応答が返信されてきます。そしてWebブラウザは認可サーバに認可要求を送信しています。

 したがって、リダイレクトされる先は認可サーバになります。

 正解は以下の通りです。

 「図6中の(Ⅰ)に示すように、有効なトークンがない場合、WebブラウザからWebAPへの情報要求は認可サーバにリダイレクトされる。」

  • (シ)

 該当箇所は、「認可応答では、認可要求で通知されたURIを用いたリダイレクトによって、(シ)に認可コードが通知される。」です。

 これも図6を見ると、認可サーバから認可応答を受信したWebブラウザはWebAPに送信しています。

 また、図6下部のHTTPヘッダを見ると、認可要求では確かにredirect_uriにWebAPのURIが設定されています。

 正解は以下の通りです。

  「認可応答では、認可要求で通知されたURIを用いたリダイレクトによって、WebAPに認可コードが通知される。」

  • (ス)

 該当箇所は、「アクセストークンの有効期間を過ぎた場合でも、(ス)の有効期間内であれば、利用者の確認を行わずに、新しいアクセストークンが発行される。」です。

 図6でアクセストークンの有効期限を過ぎた場合に相当するところを探します。

 すると、「(Ⅲ)リフレッシュトークンだけが有効な場合」にある、アクセストークンを使った情報要求でエラー応答となった箇所が見つかります。

 アクセストークンでエラーとなった後、リフレッシュトークンで正常に応答されています。

 したがって、正解は以下の通りです。

 「アクセストークンの有効期間を過ぎた場合でも、リフレッシュトークンの有効期間内であれば、利用者の確認を行わずに、新しいアクセストークンが発行される。」

  • (セ)

 該当箇所は、「図6の通信シーケンスでは、図6中の”(a)認可要求”のredirect_uriパラメタが書き換えられ、図6中の(セ)に含まれる認可コードが意図しない宛先に送信される可能性がある。」です。

 図6のHTTPヘッダを見ます。

 認可要求のredirect_uriには「WebAPのURI」が設定され、認可応答での認可コードが「WebAPのURI」に渡っていきます。

 問題文のように、redirect_uriのパラメタが攻撃者の用意したサーバなどに書き換えられると、認可コードが不正に取得されてしまいます。

 したがって、正解は以下の通りです。

 「図6の通信シーケンスでは、図6中の”(a)認可要求”のredirect_urlパラメタが書き換えられ、図6中の認可応答に含まれる認可コードが意図しない宛先に送信される可能性がある。」

  • (ソ)

 該当箇所は、「これは、図6中の(ソ)サーバに、HTTPリクエストに含まれるURIとあらかじめ登録されている絶対URLが一致することを確認させる、という対策である。」です。

 HTTPリクエストの宛先は認可サーバです。認可サーバで絶対URLと比較することになります。

 正解は以下の通りです。

 「これは、図6中の認可サーバに、HTTPリクエストに含まれるURIとあらかじめ登録されている絶対URLが一致することを確認させる、という対策である。」