平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問2設問4解答と解説
目次
解答
(1)
【g】 Cookie
【h】hiddenフィールド
(2)
防御:GSと業務サーバを外部から隠蔽できる(18字)
監視:社外からの通信の監視を一元化できる(17字)
(3)なりすましを防ぐため正当なリバースプロキシサーバであることを確認するため(36字)
(4)SSLによる安全な方法で作成、配布した共通鍵で暗号化し端末識別情報を保護できるから(38字)
(5)SSLはOSI参照モデルのセッション層で機能する。そのため、上位のアプリケーションで追加、変更等があっても、アプリケーションのデータをSSLで透過的に暗号化できるため(74字)
解説
(1)
Webアプリケーションにおけるセッションの維持方法についての知識を問う問題です。複数のWebページにわたるセッションを維持するには、ページを参照しているユーザの識別情報をページの移動後でも保持することで実現できます。そのために、次の2つの方法がよく取られています。
- Cookie
- hiddenフィールド
Cookieとは、Webサーバから一時的にWebブラウザに情報を保存しておく小さな情報です。主にユーザ識別に利用することが多いです。Cookieを用いることで、複数ページに渡って、同一ユーザがアクセスしていることを認識し、ユーザのセッション維持に利用することができます。
そして、hiddenフィールドとは、ブラウザに表示されないフォーム領域です。このhiddenフィールドを利用して、複数のWebページで情報をやり取りしてセッション維持を行うこともできます。ただし、hiddenフィールドは、ブラウザには表示されませんが、HTMLソースを見るとわかります。そのため、簡単に参照・改ざんされる危険性があります。
hiddenフィールドとCookieによるセッション維持について、下記のリンクが参考になります。
http://www.ipa.go.jp/security/awareness/vendor/programming/a01_05_main.html
(2)
リバースプロキシについては、平成14年度午後Ⅰ問3にも出ています。まず、リバースプロキシについて、平成14年度午後Ⅰ問3の解説をもう一度書いておきます。
まず、リバースプロキシという言葉の意味をきちんととらえておきましょう。e-Wordsで検索してみました。 http://e-words.jp/
特定のサーバの代理として、そのサーバへの要求を中継するプロキシサーバ。代行されているサーバにアクセスしようとしたユーザは全てリバースプロキシを経由することになるため、サーバが直接アクセスを受けることはなくなる。
中継時にパケットの内容やURLをスキャンするような機能を組み込めば、セキュリティが強化される。
また、特にアクセスの多いコンテンツをキャッシュに保存することで高速化したり、パスワード認証によってアクセス制限をするなどの機能を持っていることも多い。
社内LANなどの内部ネットワークとインターネットとの接点に置かれ、外部からWebサーバなどネットワーク内部へのアクセスを中継することもあるが、その様子が通常のプロキシ(フォワードプロキシ)の「内部から外部へのアクセスを中継する」動作と反対であることが「リバース」の由来であると言われている。
最後の段落部分がポイントです。通常のプロキシの動作は、内部LANからインターネットへのWebアクセスを中継します。それに対して、リバースプロキシは、外部からWebサーバへのWebアクセスを中継します。通常のプロキシの逆になっていることから「リバース」プロキシという言葉になっています。
通常のプロキシとリバースプロキシを図にすると次のようになります。
テクニカルエンジニア(ネットワーク)の試験対策にはGene作成の完全解説集で!平成17-19年度版好評発売中!!ご購入はこちらから