>P.199
>6.5節の認証はクライアント側の認証、6.4.1節②の認証はサーバ側の認証の話、
>という理解で合っていますでしょうか?
まあそうですが、クライアント側、サーバ側というと意味が不明確かと。
・6.5節の認証は、ログインしているユーザが正しいユーザであることを
確認するための認証
・6.4.1節②の認証は、通信相手のサーバが正しいサーバであることを
確認するための認証
です。
>P.204
>レルムはパスワードファイル作成時(htdigest)にも指定し、「.htaccess」にも
>指定しています。これらの整合性は、どのように扱われるのでしょうか?
同じものを2か所に書いているから整合性が心配だということだと思いますが、
p.204に「これはつまり、複数のレルムのユーザを、1つのパスワードファイルで
管理できることを意味しています」とあるように、レルムをキーに
どの領域のユーザかを識別しているわけです(いかにも表示用の文字列を
キーにするのが気持ち悪いというのは同意します)。
>P.205
>ncは何をカウントしているのでしょうか?同じノンスに対するレスポンスの
>送信回数が2回以上という状況が想像できませんでした。
リプレイ攻撃の防止用です。通信経路が盗聴されている時、正当な利用者が
投げた認証情報とまったく同じ情報を攻撃者が投げると認証が通ってしまう、
という事態を防止するためのものです。
>P.208
>「フォーム認証では~SSL(TLS)を使用しなければ~」とありますが、
>tomcatのフォーム認証は暗号化されているのでしょうか?それとも別途、
>暗号化が必要なものなのでしょうか?
リスト6-5のlogin.htmlを見ればわかるようにただのform要素なので、
暗号化はされません。別途TLSを使用する必要があります。
>P.211
>④の後のShowBBSを表示するリクエストとレスポンスで、JSESSIONIDの値が違いました。
>これは、なぜでしょうか?セッションIDの固定化(Session Fixation)攻撃と
>関係あるのでしょうか。
関係あります。このページの説明がわかりやすいかと思います。
http://bakera.jp/glossary/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E5%9B%BA%E5%AE%9A%E6%94%BB%E6%92%83