今回導入するノートPCとモバイル端末は、画面の大きさやブラウザの種類など、様々な仕様となっている。


[Question11]  本文中の下線に対応するための, Webアプリケーションの改修内容を40字以内で述べよ。また,その場合に, Webアプリケーションが参照するHTTPリクエストのヘッダ部のフィールドの名称を答えよ。(設問3(1))



A11 この問題であるが、国語の問題として、前半の改修内容を書けるのではないか。問題文と設問を流用して組み替えて作ると、以下になる。赤字は流用だ。
Webアプリケーションが参照するHTTPリクエストのヘッダ部を参照し、導入するノートPCとモバイル端末仕様に合わせて、Webアプリケーションの改修をする」
 さすがにこのままではイマイチであるが、文字数調整と多少の変更をすれば、部分点はもらえそうな雰囲気である。
試験センターの解答例は以下だ。
・改修内容:モバイル端末の種類に対応した形式のページコンテンツを送るようにする。
・名称:User-Agent

図が、ブラウザでWebサイトにアクセスした場合のキャプチャーである。(クリックすると大きくなる)
pm1-3-5(大きいまま張ってく

















User-Agnetとして、「Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)」が入れられている。

「compatible;」のところが今回のヘッダ部のキーとなる情報である。iPhoneであれば「iPhone;」、iPodであれば「iPod;」、Android系であれば「Linux;」と表示される。

また,それらのブラウザの中にはクッキーを受け入れないものがあることから,G君は,Webアプリケーションがブラウザに送るURLに,パラメタとしてSIDを埋め込む方法を採用することにした。これを[ オ ]という。さらに,G君は,モバイル端末を使って,インターネット経由の受発注処理を受け付けるようにするため,必要と思われる通信はSSLを使用することにした。


[Question12] H氏がG君に指示した, SSLを実装すべき機器名を,図1から一つ選んで答えよ。(設問3(2))



A12  これは簡単だったと思う。リバースプロキシによるSSL-VPNは数多く導入されている。社外からのアクセスなので、当然ながら、SSLで暗号化する必要もある。答えは、「RPサーバ」である。

 図2を検証したH氏は, Webサーバの負荷を軽減するために, SSLをWebサーバ以外の機器に実装するよう,G君に指示した。さらに,H氏は,セキュリティ上の問題があることから, SIDの付与に関して改善すべき点があることを指摘し,G君はH氏の指摘に従って,見直しを実施した。
 G君の検討結果を反映して,F社のモバイル受発注システムは無事完成し,順調に稼働した。


[Question13] H氏が指摘したセキュリティ上の問題を,30字以内で述べよ。(設問3(3))



A13 [Question9]にて解説したが、セッションハイジャックを防ぐためにSIDを変更する必要がある。しかし、図2の3ブロック目の非SSL通信では、SID=yyyとして、SSL通信と同じSIDを使っている。その後の4ブロック目の通信では、SSLによって暗号化されていても、SIDが盗聴されたら、セッションハイジャックによって不正な第三者が通信をすることが可能になる。試験センターの解答例は「非SSLの通信時に, SIDが漏えいするおそれがある」。


[Question14] SIDの付与に関するH氏の指摘に従って,G君が実施した見直しの内容を,35字以内で述べよ。(設問3(4))



A14  上記の答えが分かれば、この答は簡単だったかもしれない。試験センターの解答例は「非SSLの状態からSSLを利用する際は, SIDを振り直す」である。