HOME»応用情報技術者試験掲示板»平成28年春期午後問1
投稿する

平成28年春期午後問1 [2672]

 応用さん(No.1) 
https://www.ap-siken.com/kakomon/28_haru/pm01.html
設問1のaなんですけど今回は4文字以内の指定があったため「TLS」とわかりましたが、文字数指定がない場合「HTTPS」でもいい感じですか?この2つの違いがよくわからないので説明してほしいです。
2021.07.26 14:41
AgentTakaさん(No.2) 
AP シルバーマイスター
応用さん
こんばんは

HTTPはWEBサーバと通信する時に使うアプリケーション層のプロトコルです。
他にもアプリケーション層のプロトコルには
メール受信に使うPOP3
メールサーバ間でのメール転送やメール送信時に使うSMTP
ファイル転送に使うFTP
とか。HTTPはいろいろある通信プロトコルの一種類なんですね。

一方TLSはトランスポート層のプロトコルで
1.相手の認証
2.暗号化通信
3.データの改ざん検知
を行う役割を持っています。
で、HTTPは暗号化しない平文通信なのでTLS機能を使って上記の通信1から3まで安全に通信させようとHTTPとTLSを合体させた略をHTTPSといいます。
うーん、違いが分かるかなあ。

さて、今回の問題文の状況設定では、「顧客がWebシステムを利用する際」とあるのでHTTP通信ですね。これを暗号化させるのはTLSです。文字数の制限がなければHTTPSでも大正解でしょう!HTTPSをフルスペルで書くならば「HTTP over SSL/TLS」まで書き切ってもいいでしょう!

わたしの解説に間違いやツッコミビリティがあればGinSanaさんが黙っていないでしょう。わははは
2021.07.26 18:55
GinSanaさん(No.3) 
AP プラチナマイスター
インターネット標準ってのも引っ掛かる物言い(まあ、RFC2818だから、インターネット標準か。でもRFCって権威性がそんなにあるわけじゃないからなあ、って思ってるんですよね)
なんですが、遠い昔はSSL/TLSって併記していた時代があったんです。TLSってのは、SSLの後継で、NetscapeってのがSSLを開発してたのを第三者機関(TLSワーキンググループ)ってのにもってきたんです。昔はNetscape(ネットスケープ)とIEでシェア争いするくらいブラウザ戦争なんかやってたけど、今じゃネットスケープなんか聞かないじゃないですか。まあ、負けたんですよ。IEも廃止されますけどね。そんな会社独自のじゃセキュリティの面倒が見切れん、ってのでTLSができたんです。

でも、2014年にSSLの脆弱性が突かれた攻撃がありました。POODLE脆弱性(プードルぜいじゃくせい、CVE-2014-3566)っていって、SSLのバージョンを下げ出したり(つまり脆弱性が増える)、パディングっていって暗号化の際に足りない領域に足すデータをもとに暗号化を逆算したりできたんです。これはオラクル(天啓)パディング攻撃とかいいます。
じゃあ対策はなーに?って言われたら、セキュリティのザコは使うな、ってわけで、TLS1.3より弱いSSL3.0は禁止ね!ってなったわけですよ(2015年6月にIETF(インターネット技術タスクフォース)によって「SSL 3.0」の使用が禁止された)。
というわけで、SSLはいまはまあまず  マル  にはなりません。併記もダメだな。
じゃあ文字数制限がなかったらHTTP over TLSでもいいの?って話ですけど、aによる暗号化通信で、ってことは、HTTPS自体が暗号プロトコル(手続き)か?って話になってくるんですよ。なんとかによる暗号化通信ってことは、ですよ。

TLSというプロトコルによって提供されるセキュアな接続の上でのHTTP通信
が原義(HTTP/1.0、HTTP/1.1、HTTP/2のいずれかをTLS接続上で使用するという手続き)なわけですから、暗号化プロトコルじゃないんですよ。
というわけでTLSなんです。

2021.07.26 19:25
AgentTakaさん(No.4) 
AP シルバーマイスター
GinSanaさん
こんばんは

さすが一時間未満でのツッコミビリティありがとうございます!
やっぱりGinSanaさんには足元にも及びません。
なるほど、と分かったような分かっていないのか、が正直なところでございます。
ジャブ、ストレート、フック、アッパーと連打を浴びてKOされて10カウントです。
わははは
文字数制限がなくてもTLSしかない、との解説ありがとうございます。HTTPSでも正解、と淡い期待を持っていたわたしは甘いですね。
確かにSSLの脆弱性は認知度も高いですし、併記もやめた方がいいと思っているのですが、いまだに併記されていたり、SSLアクセラレータとかSSLサーバ証明書というフレーズが生き残っていて、まんざら無視していいワードでもないと感じています。

むむ、ということは文字数制限がなくてもTLS一択!ということでご質問者様はご納得いただけたでしょうか。
GinSanaさんとお友達になっておけば心強いのでお礼のコメントは忘れずにお願いいたします。
2021.07.26 20:17
GinSanaさん(No.5) 
AP プラチナマイスター
AgentTakaさん
SSLアクセラレータやSSL証明書も、今や中身はTLSなのに、なぜか名前は変わらないんですよね。
そんなに変えたくないのか、ってくらいに染み付いたのはなかなか変えにくいようです。
このSSL/TLSの経緯の質問は3、4回似たようなことを書きましたが、検索に出てこないんですよね。質問のタイトルしか引っ掛からないのかも知れませんが。

1時間で返せたのはたまたま駅の蕎麦屋と電車の中でこの質問を見て書きました。まあ、いつものことです。
2021.07.26 21:04
AgentTakaさん(No.6) 
AP シルバーマイスター
駅の蕎麦屋と電車の中で(No.3)を書いている!?
まあ、いつものことです。ですと!?

どれだけすごいんですか!
今や大谷投手かGinSanaさんか、という時代になってきてますね。
サインください、って本音でちゃいます。ちょっとご質問者様を置き去りにしてしまった感がありますが、、、応用さん、一緒にGinSanaさんに必死についていきましょうね!
2021.07.26 21:30
 応用さん(No.7) 
GinSanaさん、AgentTakaさんとてもわかり易い解説ありがとうございます!こんなしっかりした解説に拍手が止まりません!お二方に近付けるように頑張っていきます
2021.07.27 18:07

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop