HOME»基本情報技術者試験掲示板»平成27年春期午後問1
投稿する

平成27年春期午後問1 [4638]

 まきさん(No.1) 
https://www.fe-siken.com/kakomon/27_haru/pm01.html
設問4の脆弱性から引きおこるセキュリティ事故
ログインIDとPWの入力回数制限なし(ロック制限かからない)
答えはイというわかりますが・・・脆弱性ってことで理解しました。
(技術的にという意味で)
ただ、選択肢として考えてみた時に現実エということも考えたときに可能性があると感じたのは私だけでしょうか。すみません問題とはそれてしまって(ソーシャルエンジニアリングの可能性?)
何回も入力しているうちに分かってしまったという恐れ
よろしくお願いいたします。
2022.11.18 20:42
ろーぷさん(No.2) 
確かに可能性を考えればソーシャルエンジニアリングもありえますが、利用者IDを連続して間違えてもロックされないことがソーシャルエンジニアリングの直接的な原因ではないことから不正解であると考えます。
2022.11.18 21:17
GinSanaさん(No.3) 
FE シルバーマイスター
まあ、現実問題ショルダーハッキングはふつうにあります(電車の中とか、見られてますよ、と)が、下線②には関連しないからダメですね。
脆弱性というよりはブルートフォース攻撃の対象になるので、試行回数に制限を設けよう、ということです。

el.jibun.atmarkit.co.jp/pressenter/2020/09/_19_3.html
イノウーの憂鬱 (19)  セキュリティ強化

仮にアカウントロック機能をうっかり設定し忘れたと仮定しても、そもそもアルファベット6 文字の総当たりに30 分もかかるわけないじゃないですか。
(・・・)
  難しいコーディングではない。a からz までのアルファベットを6 回ループするだけだ。実際は生成したパスワードで認証する処理が必要だが、そこはテキストファイルに追記することで代用する。生成したパスワードを表示してもいいが、全てではなく、最初の1 文字が変わるときにだけ経過時間を知るために表示することにした。
(・・・)
6 分30 秒ってとこですね。
とまあseleniumとかでこうなってしまいかねないので、気を付けようね、ということです。
2022.11.18 21:20
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010-2024 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop