Question

Web アプリケーションのセッションが攻撃者に乗っ取られ，攻撃者が乗っ取ったセッションを利用してアクセスした場合でも，個人情報の漏えいなどの被害が拡大しないようにするために，Web アプリケーションが重要な情報を Web ブラウザに送信する直前に行う対策として，最も適切なものはどれか。

Accepted Answer

パスワードによる利用者認証を行う。。セッションが乗っ取られても被害を最小化するには、重要情報を送る直前に改めて本人確認を行うのが有効です。パスワードによる利用者認証を再度求めれば、正規利用者でなければ重要情報を取得できず漏えい拡大を防げます。暗号化やセッションID格納はセッション乗っ取り後の不正アクセスそのものを止められません。正解はエ。

Answer

Web ブラウザとの間の通信を暗号化する。

Answer

発行済セッション ID を Cookie に格納する。

Answer

発行済セッション ID を URL に設定する。

Answer

パスワードによる利用者認証を行う。