【ネスぺ対策】アプリケーション層まとめ

• Content-Security-Policy
  • 外部読み込みを許可するリソースの種類とドメインを指定する。
• Strict-Transport-Security（HSTS）
  • HTTPS接続を強制する。
• X-Content-Type-Options
  • ファイルの内容をContent-Type属性から判断させる。ファイル形式をブラウザに誤認させてJavascriptを実行させるXSS攻撃を防ぐことができる。
• X-XSS-Protection
  • XSS攻撃を検知したときにページの読み込みを停止する

301リダイレクトでは最初の通信は暗号化されないが，HSTSではコンテンツを返さずにHTTPレスポンスヘッダで通知を行うことができ，それ以降の通信はHTTPS接続となるため。

GETで取得したページはキャッシュされ，POSTで取得したページはキャッシュされない。

• Secure：HTTPS通信のときに限りサーバにブラウザからCookieが送信される
• Domain：Cookieを送信するドメインを指定
• Path：Cookieを送信するURLディレクトリを指定
• Expires：Cookieの有効期限を設定
• HttpOnly：JavaScriptからCookieにアクセスできなくなる

• ベーシック認証：ユーザ名とパスワードをコロンで繋いでBase64でエンコードする方式。
• ダイジェスト認証：ユーザ名・パスワード・ランダムな文字列をMD5でハッシュ化する方式。コロンではない点に注意。

まず，HTTPS通信はクライアントとWebサーバ間で暗号化を行っているため，シンプルにプロキシサーバを経由させると暗号化されておりパケットを中継することが不可能である。そこで，CONNECTメソッドを使ってプロキシサーバに通信を透過させるという手段を用いる。一方で，通信を透過させるとプロキシサーバのセキュリティチェックがなされないという問題が再出現する。この問題を解決するためには，HTTPS通信をプロキシサーバで終端させて通信を復号し，その後再度プロキシサーバとWebサーバの間でHTTPS通信を行うという手段を用いる。すると，ブラウザには警告の表示がされてしまうが，プロキシサーバの証明書をインストールすることで警告を非表示にできる。

• HTTPレスポンス：Set-cookieフィールドにセッションIDを発行
• HTTPリクエスト：CookieフィールドにセッションIDを格納

• 制御用ポート：TCP/21
• データ転送用ポート：TCP/20

サーバ

• MODE：転送モードの指定
• PASV：クライアントからサーバに転送用ポートを問い合わせる
• PORT：クライアントがデータ転送を待ち受けているポート番号をサーバに伝える。サーバは能動的になるのでACTIVEと言いたいところだがPORTなので注意。ちなみに，制御用のコネクションは常にクライアントからサーバに向けて確立されることにも注意。

いずれも信号を暗号化して不正や複製や傍受を防止する仕様を定めた規格である。

CPPM(Content Protection for Pre-Recorded Media)は再生専用メディアに対する規格。CPRM(Content Protection for Recordable Media)は書き可能メディアに対する規格。DTCP(Digital Transmission Content Protection)はコンピュータやAV機器の接続などの家庭内ネットワークに対する規格。HDCP(High-bandwidth Digital Content Protection)はHDMI端子やDisplayPort端子と表示機器の間でやり取りされる信号に対する規格。

EAP-TLSではサーバ・クライアント間の認証をディジタル証明書を用いて行う。一方で，EAP-TTLSやEAP-FASTはTLSによりサーバ認証を行った後に各種認証方法でクライアントを認証するという違いがある。

• 呼制御データに関するプロトコル
  • H.323：バイナリ形式
  • SIP/SDP：テキスト形式（ボディ部はSDPでプロトコルやポート番号を記述）
• 音声データに関するプロトコル
  • RTP：UDP+シーケンス順序管理+タイムスタンプ

クライアント