2005年11月23日

テクニカルエンジニア(情報セキュリティ)サンプル問題で、クッキーの勉強もする

テクニカルエンジニア(情報セキュリティ)試験、サンプル問題を続ける。「会員認証の検討」の後半は、クッキーについての説明が書かれている。クッキーについては、基本的な技術だし、日常のインターネットのアクセスでしょっちゅう使われる。できれば、情報セキュリティアドミニストレータを目指す人も、テキストに一度はあたった方が良いと思う。

そもそも、HTTPのパケットの交換は、1回ずつが使い捨てのように、先のやり取りの情報を引き継いでいくということがない。しかし、現実にはネットショップで買い物をしたりする場合は、買った情報を引き続き保持しながら、Webを行ったり来たりする。そこで使われるのが、クッキーということらしい。

ID・パスワードで認証を受けたクライアントに、サーバから認証した内容をクッキーとして送信する。次回のアクセス(直後もある)の際に、クッキーとともにサーバにリクエストすると、サーバは、以前にアクセスがあったクライアントとして認識するわけである。

サンプル問題では、2つのドメインというか、サーバを使うことになっていて、一方はネット販売のための受注Web、もう一方はカタログとして使う掲載Webだ。カタログには、会員の要望に応じてカスタマイズする機能(パーソナライズ機能)があるので、これもクッキーを使って特定の会員であることをサーバに伝える必要がある。

問題文では、決済という金銭のからむ受注Webがあり、ID・パスワードが盗聴されると、なりすましによって商品が騙し取られる恐れがある。カタログを見せるだけなら、被害らしいものもないのだが、カタログと買い物のサイトを行き来する場合、クッキーが盗聴されないよう、どちらのサイトにも暗号化が必要になるというわけである。暗号化は、問題文に書かれてあるように、SSLを使う。


posted by tamaso at 00:16| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/9686288

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。