基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]

平成27年 秋期 基本情報技術者 午後 問04
問04   4問選択

 Web サイトにおけるセッション管理に関する次の記述を読んで,設問1〜4に答えよ。

 

 セッションとは,一連の処理の始まりから終わりまでを表す概念である。例えば, あるショッピングサイトでは,会員がログインし,その後,商品の選択,注文,決済など, 何度も Web サイトヘのアクセスを繰り返しながら商品を購入し,最後にログアウトする。 このときの,ログインからログアウトまでが同じ一つのセッションである。

 Web サイトヘのアクセスに使うプロトコルである HTTP ではセッションの扱いについての規定はないが, Web サイトと Web ブラウザの間でセッション ID を送受信することで, 一連の通信を一つのセッションとして管理できる。ここで,セッション ID とは セッションごとに割り振られた一意の文字列である。

 Web サイトは,セッションの開始とともにセッション ID を生成し, Web ブラウザに送る。Web ブラウザは, Web サイトから受信したセッション ID を 含めた HTTP リクエストを Web サイトに送る。 Web サイトは, 同じセッション ID をもつ HTTP リクエストを,同一セッションの一連の HTTP リクエストとみなす。 一般に,会員 ID や選択された商品の情報などのセッションに関係する情報は,Web サイト側が セッション ID に関連付けて管理する。

 セッション ID は注意して取り扱う必要がある。例えば,セッション ID の有効期間を できるだけ短くしたり,セッション ID を推測しにくい文字列にしたり, セッション ID の送受信を暗号化されている通信路で行ったりするなど, セキュリティ上のリスクを抑える工夫をする。

 セッション ID の送受信には,主に次に挙げる方法が用いられている。

 

(1) HTTP リクエストの拡張ヘッダや Web サイトが Web ブラウザに送信する HTTP レスポンスの 拡張ヘッダに,クッキーの値としてセッション ID を記載する。このとき, Web ブラウザでクッキーの管理が有効になっている必要がある。

(2) HTML 中のリンク先やフォームの送信先を示す URL の中にセッション ID を 埋め込む(次の例では下線の箇所)。

(3) HTML 中のフォームでフィールド hidden にセッション ID を埋め込む(次の例では下線の箇所)。

設問1 次の記述中の に入れる適切な答えを, 解答群の中から選べ。

 ショッピングサイト A での商品購入の流れは図1のとおりである。 注文と決済に必要な情報をセッション ID に関連付けて管理するため, ショッピングサイト A では,閲覧者が にセッション ID を生成し, ログアウト時に破棄することとした。


図1 ショッピングサイト A での商品購入の流れ

a に関する解答群

ア サイトの関覧を開始したとき     イ 商品を閲覧するたび

ウ 商品を選択するたび         エ ログインに成功したとき

解答 a ←クリックすると正解が表示されます

設問2 セッション ID として使う文字列として適切な答えを,解答群の中から選べ。

解答群

ア 会員 ID と同じ文字列

イ 会員 ID と通し番号を連結した文字列

ウ 十分に長いランダムな文字列

エ 通し番号を示す文字列

解答 ←クリックすると正解が表示されます

設問3  次に示す表は,(A) 〜 (C)の特徴と,本文中のセッション ID を 送受信する (1)〜 (3) の方法の組合せを示したものである。 表中の に入れる適切な答えを,解答群の中から選べ。

b に関する解答群

解答 b ←クリックすると正解が表示されます

設問4 次の記述中の に入れる正しい答えを, 解答群の中から選べ。

 

 クッキーは名前と値の組であり,Web サイトと Web ブラウザでそれぞれ管理される。 Web サイトは,Web ブラウザに管理させたいクッキーを, Web ブラウザに送信する HTTP レスポンスの拡張ヘッダに記載する。 Web ブラウザは,Web サイトから受信したクッキーを, その Web サイトに送信する HTTP リクエストの拡張ヘッダに記載する。

 クッキーの値としてセッション ID を記載することで, Web サイトと Web ブラウザの間で,セッション ID を送受信することができる。

 Web サイトは,HTTP レスポンスに記載するクッキーに,付加情報として送信先ドメイン名の指示を 加えることができる。 これは,Web ブラウザに対し,当該クッキーをどのドメイン又はホスト宛ての HTTP リクエストに 記載すべきかを指示するもので, HTTP レスポンスの送信元ホスト名か, より上位のドメイン名が指示されているクッキーだけが有効である。 例えば,ホスト www.example.com の上位のドメインは example.com と com である。 ただし,多くの組織の上位ドメインとなる com や org などは有効とはみなさない。 Web ブラウザは,有効でないドメイン名が指示されたクッキーを管理しない。

 Web ブラウザは,管理しているクッキーを,指示されたドメイン名と等しいホストか, より下位ドメインのホスト宛てに送信する HTTP リクエストに記載する。 例えば,送信先ドメイン名として,example.com が指示されているクッキーは, example.com の下位ドメインのホストである,www.example.com や www.foo.example.com 宛てに 送信する HTTP リクエストに記載される。

 送信先ドメイン名として example.com が指示されたクッキーを www.example.com から受け取った Web ブラウザは,www.example.com の他, www2.example.com などの example.com の下位ドメインのホストヘ送信する HTTP リクエストにも,当該クッキーを記載する。

 クッキーを受け入れる設定であって,かつ,クッキーを一つも 管理していない Web ブラウザから http://www.foo.example.com/index.html にアクセスし, その応答として受け取った HTTP レスポンスには,表1に挙げる名前をもつクッキーが含まれており, それぞれに,送信先ドメイン名の指示が付加されていた。Web ブラウザは, このうちの 個のクッキーを管理する。この直後に,同じ Web ブラウザから http://www.bar.example.com/index.html にアクセスするときに HTTP リクエストに記載されるクッキーは, である。

表1 クッキーの名前と送信先ドメイン名の指示

c に関する解答群

ア 1       イ 2       ウ 3       エ 4       オ 5

d に関する解答群

ア c1      イ c1 と c2      ウ c1 と c5      エ c4 と c5        オ c5
解答 c ←クリックすると正解が表示されます

解答 d ←クリックすると正解が表示されます


[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]