情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問10: cookie に Secure 属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
←情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ
cookie に Secure 属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
問題本文
cookie に Secure 属性を設定しなかったときと比較した,設定したときの動作として,適切なものはどれか。
選択肢
- ア.cookie に設定された有効期間を過ぎると,cookie が無効化される。
- イ.JavaScript による cookie の読出しが禁止される。
- ウ.URL 内のスキームが https のときだけ,Web ブラウザから cookie が送出される。
- エ.Web ブラウザがアクセスする URL 内のパスと cookie に設定されたパスのプレフィックスが一致するときだけ,Web ブラウザから cookie が送出される。
正解
ウ. URL 内のスキームが https のときだけ,Web ブラウザから cookie が送出される。
解説
cookieのSecure属性は、HTTPS(暗号化された通信)のときだけブラウザがcookieを送信するよう制限する設定。ウが正しい。平文HTTPでの送信を防ぐことでセッションIDの盗聴リスクを下げられる。実務ではHttpOnlyやSameSiteと組み合わせ、セッション管理を多層的に保護することが推奨される。
選択肢ごとの解説
- ア.有効期間による無効化はExpires/Max-Ageの動作で、Secure属性の効果ではないため誤り。
- イ.JavaScriptからの読出し禁止はHttpOnly属性の効果で、Secure属性とは別物のため誤り。
- ウ.httpsのときだけcookieを送出する点がSecure属性の定義どおりで正解。
- エ.パスの前方一致で送出を制御するのはPath属性の動作で、Secure属性の効果ではないため誤り。
情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ の過去問一覧へ戻る・問10