電子文書
●電子文書を保存した記録媒体の見読性を維持する方法をあげよ
答え
・正・副の記録媒体を作成し、別地で保存する
・定期的にエラーレートを確認し、一定以上のエラーがある場合は媒体の交換を行なう
●特定の時点における存在証明をタイムスタンプで行なうが、この時刻として使用される
時刻情報を一般になんとよばれるか。
答え
協定世界時
●電子文書に対する改ざんの有無をどのようにして確認するのか。
答え
検証時における電子文書のハッシュ値を求め、それを電子署名のハッシュ値と比較する
●再署名した電子文書を訴訟の証拠として利用するのが難しい理由をあげよ
答え
・再署名の際に内容が改ざんされる危険性があるから
・作成時点での存在証明ができなくなるから
●アーカイブタイムスタンプを作成するときに必要な検証情報をあげよ
答え
・電子署名にかかわる電子証明書
・認証パスに存在する認証局の電子証明書
・電子証明書の失効情報
セキュアプログラミング
●サイニタイジング処理は、ユーザ入力が格納されている変数を利用する直前に
行なう必要がある理由は?
答え
データを埋め込むHTML中の文脈に合わせて適切なサイニタイジング方法を選択
する必要があるから。
※入力された文字列に対し、それをWebアプリケーションがそのまま実行する必要があるのか
あるいはHTMLとして出力するかによって扱いが異なる。
HTMLとして出力する場合には、サニタイジング処理が必要
●セキュリティを向上させるため画面出力に使用されるすべての変数に対して無害化処理を
行なうのは何を防ぐための対策か?
答え
サニタイジング処理のコーディング漏れ
●DBへのパスワードの保存方式で、秘密鍵方式が脆弱である理由
答え
秘密かぎが漏洩すると、すべてのパスワードが解読されてしまうため
●プレースホルダによって、不正な入力が防止される理由はなにか?
答え
入力された文字列は、データベースでは単なる数値定数や文字列定数として
扱われるようになるから
※プレースホルダはパラメタ値を安全にするための仕組みであり、実行時に
受け取った値を検査し、問題となる文字列などを置換後、あらかじめ
用意されているSQL文に埋め込んでSQL文を実行する
●WAFが採用してるポジティブセキュリティの方式が、なぜ未知の攻撃に有効なのか?
答え
未知の攻撃を受けると、登録されていない通信とみなされ遮断されるから
登録してある通信しか通さないので、未知の通信は遮断される
●プレースホルダによるSQL文の実行方法
prepareメソッドによってSQL文を実行できるように準備し、executeメソッドによって実行する。
●クロスサイトスクリプトの監査にalertメソッドを使用すると視覚的に検査が可能な理由?
答え
脆弱性があると、ブラウザに警告ウィンドウが表示されるため
●SQLを使用するCGIでプレースホルダを利用したコードが安全と言われる理由は何か。
答え
特殊文字は、エスケープされて数値定数や文字列定数としてプレースホルダに当�てはめられるため
