HOMEサンプル問題・例題解説303試験の例題と解説322.3 Apache/HTTP/HTTPS

303試験の例題と解説

322.3Apache/HTTP/HTTPS

今回は303試験の試験範囲から、「322.3 Apache/HTTP/HTTPS」についての例題を解いてみます。

■トピックの概要
このトピックの内容(2010年1月29日時点)は以下の通りです。トピックの詳細はこちらからご確認ください。

322.3 Apache/HTTP/HTTPS
重要度:2

<説明>
Apache Webサービスの使用と使用方法と設定上のセキュリティ問題について経験と知識があること。

<主要な知識範囲>

  • Apache v1 及び v2 の安全性を中心とした設定

<重要なファイル、用語、ユーティリティ>

  • SSL
  • .htaccess
  • Basic 認証
  • htpasswd
  • AllowOverride

■例題
Webサーバで利用できるBasic認証の問題点として正しいものを選びなさい。

  1. パスワードファイルが平文で保存される
  2. パスワードファイルのパーミッションの関係で誰でも読めてしまう
  3. パスワードが平文で送信される
  4. 特定のWebブラウザしかサポートしていない

※この例題は実際のLinuC試験とは異なります。

解答と解説

答えは 3. パスワードが平文で送信される です。

Basic認証は比較的簡単に設定できることもあり、特定のWebページにアクセスさせたくないような場合に利用されることが多くあります。しかし答えにもあるように、入力されたパスワードは平文で送信されますから、送信経路の間で盗み見される可能性が十分あります。たとえば、Webブラウザが動作しているクライアントPCがウイルスやスパイウェアなどに感染してしまっているケースが考えられます。

このような問題が起きないよう、パスワードをハッシュ化して送信するDigest認証も用意されています。以前はサポートしていないWebブラウザも存在していましたが、最近ではかなり減ってきているので、標準的に使用してもいい状況であるといえるでしょう。設定手順もBasic認証とほとんど変わりませんので、できる限りDigest認証を使用するようにすべきかでしょう。

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ