助け合いフォーラム

Cisco

CCNP ENCOR(350-401)
問題ID : 27225
問題を開く
セキュリティ対策としてREST APIのリクエストにタイムスタンプを付加する目的はどれか。

この問題はプレミアムコンテンツです。

上に戻る

REST APIリクエストへのタイムスタンプ付加が必要なケースについて

公開日 2023/05/01

上記問題の解説は、HTTPの例となっています。
HTTPSを使用する場合には、HTTPSの機能でリプレイ攻撃ができないので、タイムスタンプを付加する
必要はないとの理解であっているでしょうか。

すみませんが、ご存じの方がいらしたら、教えてください。
よろしくお願いします。

2023/05/05 18:30

HTTPSを使用する場合には、HTTPSの機能でリプレイ攻撃ができないので、タイムスタンプを付加する
必要はないとの理解であっているでしょうか。

別の質問につけている話そのままですが、「パケットをそのまま取得してそのまま送りつける」だけの攻撃なので、HTTPSで暗号化されていようが丸々再利用(リプレイ)してうまく攻撃があたればラッキー、って感じで考えると良いと思います。

※セキュリティって「必要あるかどうか」じゃなくて「そもそも仕組みとして利用する」ものなんですよね。IPsec使ってるからSSHじゃなくてtelnetでいい、みたいな話にはならないかなと。


コメント

k kz5835

2023/05/06 00:51

arashi1977様 ご回答、有難うございます。 すみませんが、可能であれば、もう少し教えて下さい。 HTTPSの場合、TCPの上でTLSセッションを使用しているので そのTLSセッション上のデータとして、攻撃者が別のデータを挿入する ことはできないかと思います。 (挿入しても、受信側で正常にデコードされる可能性がないため) TLSセッション(HTTPS)を前提とした場合、丸々再利用(リプレイ) してうまく攻撃があたる可能性がないので、タイムスタンプを付加しても しなくても、安全性は変化していないと思ったのですが、この点に ついては、どの様に思われますでしょうか。 たびたびすみませんが、ご存じであれば、教えて下さい。

a arashi1977

2023/05/06 09:10

> タイムスタンプを付加しても しなくても、安全性は変化していないと思ったのですが、この点に > ついては、どの様に思われますでしょうか。 ここはその前で言及したように > ※セキュリティって「必要あるかどうか」じゃなくて「そもそも仕組みとして利用する」ものなんですよね。IPsec使ってるからSSHじゃなくてtelnetでいい、みたいな話にはならないかなと。 って思ってます。 「世の中完全自動運転になったんだから、変な運転する奴も信号無視する奴もいないわけだし、シートベルトなんてあってもなくても同じだよね。なので無くしていいんじゃないかな」って言う話に対して「なくてもいいかもしれないけど、安全性向上のために存在している装備をなくすのは話が違うのでは(積極的に無くす、使わない理由があるの?)」ってことです。 セキュリティは「しなくていいんじゃない?」ではなくて「攻撃のポイントを排除していく」必要があるものなので、積極的な理由(すでに解読方法が確立してるとか)がないのであれば、利便性とバランスをとりつつ利用すべきと言う考え方が望ましいかと思います。

k kz5835

2023/05/06 16:41

arashi1977様 ご回答、有難うございます。おかげさまで、理解できました。有難うございました。

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?