設問1 20
(1) 6
利点
実装しなくても認証方式を多要素認証にできる点
(2) 6
欠点
Tサービスのダウン中多要素認証を利用できない点
(3) 6
a S
b T
c 利用者
(4) 2
a え
設問2 12
(1) 4
d ウ
e ア
(2) 6
アップロード:攻撃者
ダウンロード:攻撃者
(3) 2
β あ
γ か
-
回答理由
stateを付与するタイミングが利用開始のタイミングだと思った
-
正答との差
リソースオーナーに認可の要求を行うためにリソースサーバーの認可するリソースを選択させる画面へのリダイレクト命令をクライアントがユーザに渡すときに渡す。
私の解答では無駄なクエリ文字列を渡す手順が入っていた
設問3 8
(1) 2
エ
(2) e 6
多要素認証を実装した後に新規登録したS会員
設問4 4
SサービスのTサービスから取得したIDが認証時に取得するTサービスのIDと一致することを確認する方法
-
回答理由
TサービスのIDとそのまま記述し、初回登録時に取得したT-IDを利用する度にTサービスから取得したT-IDと一致するかを確認するために記載した
-
正答との差
IDが固有名詞がありT-IDと解答するべきだった
図2の注記に本問の答えが記載したあった
問われている事に関する記述がないか探す必要があった
IDなど抽象的な表現の場合は具体的な名称が存在しないか意識して探したほうがより高得点を取れると思った
あと、認証時というより利用時のほうが違いかもしれない
利用の度にT-IDをチェックすると思うので
「Tサービスで認証されたS会員のT-IDがSサービスに登録されていることを確認する」
が解答だった。