Question

攻撃者が，Webアプリケーションのセッションを乗っ取り，そのセッションを利用してアクセスした場合でも，個人情報の漏えいなどに被害が拡大しないようにするために，重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として，最も適切なものはどれか。

Accepted Answer

パスワードによる利用者認証を行う。。セッションが乗っ取られても、重要情報表示の直前で再度パスワード認証を行えば、攻撃者は正規利用者のパスワードを知らないため被害拡大を防げる。よってエが正しい。

Answer

Webブラウザとの間の通信を暗号化する。

Answer

発行済セッションIDをCookieに格納する。

Answer

発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。

Answer

パスワードによる利用者認証を行う。