総視聴再生時間43万分以上(2017年5月13日現在)の動画で基本情報技術者試験の過去問&キーワード解説!スキマ時間に動画!〜これじょIT〜

PR広告

平成27年度秋基本情報技術者試験 午後問4 ネットワーク 設問1

TOP :

平成27年度秋基本情報技術者試験 午後問4 ネットワーク

Webサイトにおけるセッション管理に関する次の記述を読んで、設問1~4に答えよ。

 セッションとは、一連の処理の始まりから終わりまでを表す概念である。例えば、あるショッピングサイトでは、会員がログインし、その後、商品の選択、注文、決済など、何度もWebサイトヘのアクセスを繰り返しながら商品を購入し、最後にログアウトする。このときの、ログインからログアウトまでが同じ一つのセッションである。

 Webサイトヘのアクセスに使うプロトコルであるHTTPではセッションの扱いについての規定はないが、WebサイトとWebブラウザの間でセッションIDを送受信することで、一連の通信を一つのセッションとして管理できる。ここで、セッションIDとはセッションごとに割り振られた一意の文字列である。

 Webサイトは、セッションの開始とともにセッションIDを生成し、Webブラウザに送る。Webブラウザは、Webサイトから受信したセッションIDを含めたHTTPリクエストをWebサイトに送る。Webサイトは、同じセッションIDをもつHTTPリクエストを、同一セッションの一連のHTTPリクエストとみなす。一般に、会員IDや選択された商品の情報などのセッションに関係する情報は、Webサイト側がセッションIDに関連付けて管理する。

 セッションIDは注意して取り扱う必要がある。例えば、セッションIDの有効期間をできるだけ短くしたり、セッションIDを推測しにくい文字列にしたり、セッションIDの送受信を暗号化されている通信路で行ったりするなど、セキュリティ上のリスクを抑える工夫をする。

 セッションIDの送受信には、主に次に挙げる方法が用いられている。

(1) HTTPリクエストの拡張ヘッダやWebサイトがWebブラウザに送信するHTTPレスポンスの拡張ヘッダに、クッキーの値としてセッションIDを記載する。このとき、Webブラウザでクッキーの管理が有効になっている必要がある。

(2) HTML中のリンク先やフォームの送信先を示すURLの中にセッションIDを埋め込む(次の例では下線の箇所)。

例:<a href="https://www.example.com?sid=セッションID">top</a>

(3) HTML中のフォームでフィールド hidden にセッションIDを埋め込む(次の例では下線の箇所)。

例:<input type="hidden" name="sid" value="セッションID" />

設問1

次の記述中の に入れる適切な答えを、解答群の中から選べ。

 ショッピングサイトAでの商品購入の流れは図1のとおりである。注文と決済に必要な情報をセッションIDに関連付けて管理するため、ショッピングサイトAでは、閲覧者がaにセッションIDを生成し、ログアウト時に破棄することとした。

平成27年度秋応用情報技術者試験午後過去問4 ネットワーク

a に関する解答群

  • ア サイトの関覧を開始したとき
  • イ 商品を閲覧するたび
  • ウ 商品を選択するたび
  • エ ログインに成功したとき

解説

問題文では「ショッピングサイトAでは、閲覧者がaにセッションIDを生成し、ログアウト時に破棄することとした。」とあることから、セッションIDを生成するタイミングを問題にしています。

問題文の始めの方に

 セッションとは、一連の処理の始まりから終わりまでを表す概念である。例えば、あるショッピングサイトでは、会員がログインし、その後、商品の選択、注文、決済など、何度もWebサイトヘのアクセスを繰り返しながら商品を購入し、最後にログアウトする。このときの、ログインからログアウトまでが同じ一つのセッションである。

とあります。ログインする時にセッションIDを生成するとも読み取れます。ログインが成功するとセッションで持っているIDとパスワードでIDと利用者をWEBサイトが関連づけします。

従って、答えは「エ ログインに成功したとき」です!

設問2

セッションIDとして使う文字列として適切な答えを、解答群の中から選べ。

解答群

  • ア 会員IDと同じ文字列
  • イ 会員IDと通し番号を連結した文字列
  • ウ 十分に長いランダムな文字列
  • エ 通し番号を示す文字列

解説

セッションの取り扱いについての問題です。問題文に下記のような説明があります!

 セッションIDは注意して取り扱う必要がある。例えば、セッションIDの有効期間をできるだけ短くしたり、セッションIDを推測しにくい文字列にしたり、セッションIDの送受信を暗号化されている通信路で行ったりするなど、セキュリティ上のリスクを抑える工夫をする。

セッションIDとして使う文字列は「セッションIDを推測しにくい文字列にしたり」に該当します。解答群を見ると「ウ 十分に長いランダムな文字列」が適切です!

設問3

次に示す表は、(A)~(C)の特徴と、本文中のセッションIDを送受信する(1)~(3)の方法の組合せを示したものである。表中の に入れる適切な答えを、解答群の中から選べ。

平成27年度秋応用情報技術者試験午後過去問4 ネットワーク

解説

(A) WEBブラウザのアドレスバーに表示されるURLの中にセッションIDが含まれる。

これは

(2) HTML中のリンク先やフォームの送信先を示すURLの中にセッションID を埋め込む(次の例では下線の箇所)。

例:<a href="https://www.example.com?sid=セッションID">top</a>

に対応します!理由は例のリンクをクリックすると、GET通信になり、ブラウザのアドレスバーに"https://www.example.com?sid=fdsfa1212sd"と表示されてしまいます。 ※fdsfa1212sdはセッションIDの例

(B) Webブラウザの設定次第で利用できないことがある。

これは

(1) HTTPリクエストの拡張ヘッダやWebサイトがWebブラウザに送信するHTTPレスポンスの拡張ヘッダに、クッキーの値としてセッションIDを記載する。このとき、Webブラウザでクッキーの管理が有効になっている必要がある。

に対応します!理由はセキュリティ対策の一つで、クッキーの悪用を防止するために、Webブラウザの設定でクッキーを無効にすることがあり、このような対応をすると、セッションが利用できません。

(C) タグ<a>で指定されたリンクのクリックではセッションIDが送信されない。

これは

(3) HTML中のフォームでフィールド hidden にセッションIDを埋め込む(次の例では下線の箇所)。

例:<input type="hidden" name="sid" value="セッションID" />

に対応します!理由は、INPUTタグの値はFORMなどを利用したPOST通信の時に送信されます。タグ<a>は(2)のようにURLにつけてやる必要があり、この場合GET通信となります。従って「タグ<a>で指定されたリンクのクリックではセッションIDが送信されない。」となります

(A) - (2)

(B) - (1)

(C) - (3)

答えは「ウ」です!

設問4

次の記述中の に入れる正しい答えを、解答群の中から選べ。

 クッキーは名前と値の組であり、WebサイトとWebブラウザでそれぞれ管理される。Webサイトは、Webブラウザに管理させたいクッキーを、Webブラウザに送信するHTTPレスポンスの拡張ヘッダに記載する。Webブラウザは、Webサイトから受信したクッキーを、そのWebサイトに送信するHTTPリクエストの拡張ヘッダに記載する。

 クッキーの値としてセッションIDを記載することで、WebサイトとWebブラウザの間で、セッションIDを送受信することができる。

 Webサイトは、HTTPレスポンスに記載するクッキーに、付加情報として送信先ドメイン名の指示を加えることができる。これは、Webブラウザに対し、当該クッキーをどのドメイン又はホスト宛てのHTTPリクエストに 記載すべきかを指示するもので、HTTPレスポンスの送信元ホスト名か、より上位のドメイン名が指示されているクッキーだけが有効である。例えば、ホスト www.example.com の上位のドメインは example.com と com である。ただし、多くの組織の上位ドメインとなる com や org などは有効とはみなさない。Webブラウザは、有効でないドメイン名が指示されたクッキーを管理しない。

 Webブラウザは、管理しているクッキーを、指示されたドメイン名と等しいホストか、より下位ドメインのホスト宛てに送信するHTTPリクエストに記載する。例えば、送信先ドメイン名として、example.com が指示されているクッキーは、example.com の下位ドメインのホストである、www.example.com や www.foo.example.com 宛てに送信するHTTPリクエストに記載される。

 送信先ドメイン名として example.com が指示されたクッキーを www.example.com から受け取ったWebブラウザは、www.example.com の他、www2.example.com などの example.com の下位ドメインのホストヘ送信するHTTPリクエストにも、当該クッキーを記載する。

 クッキーを受け入れる設定であって、かつ、クッキーを一つも管理していないWebブラウザから http://www.foo.example.com/index.html にアクセスし、その応答として受け取ったHTTPレスポンスには、表1に挙げる名前をもつクッキーが含まれており、それぞれに、送信先ドメイン名の指示が付加されていた。Webブラウザは、このうちのc個のクッキーを管理する。この直後に、同じWebブラウザから http://www.bar.example.com/index.html にアクセスするときにHTTPリクエストに記載されるクッキーは、dである。

平成27年度秋応用情報技術者試験午後過去問4 ネットワーク

c に関する解答群

  • ア 1
  • イ 2
  • ウ 3
  • エ 4
  • オ 5

d に関する解答群

  • ア c1
  • イ c1とc2
  • ウ c1とc5
  • エ c4とc5
  • オ c5

解説

動画解説がわかりやすいかと思います。

問題文の「Webブラウザは、管理しているクッキーを、指示されたドメイン名と等しいホストか、より下位ドメインのホスト宛てに送信するHTTPリクエストに記載する。」の通りだとすると"http://www.foo.example.com/index.html"にアクセスすると、"C1 example.cpm", "C2 foo.example.com", "C3 www.foo.example.com"の3つにクッキーをHTTPリクエストに記載します。

c の答えは「ウ 3」です!

この直後に、同じWebブラウザから http://www.bar.example.com/index.html にアクセスするとき、にHTTPリクエストに記載されるクッキーは、上位ドメインの"ア C1 http://example.com"に記載されます。

TOP :

タグ: ,,

PR広告

フェイスブックコメント

平成28年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成28年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成28年度春 基本情報技術者試験 午後 テキスト・動画解説

平成28年度春 基本情報技術者試験 午前 テキスト・動画解説

平成27年度秋 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午後 テキスト・動画解説

平成27年度春 基本情報技術者試験 午前 テキスト・動画解説

平成26年度秋 基本情報技術者試験 午前 テキスト・動画解説

平成26年度春 基本情報技術者試験 午前 テキスト・動画解説