Чи включає в себе https захист від атаки повторної дії?

11

Чи можливо здійснити атаку повторного запиту на запит, переданий через https? Значення, робить протокол HTTPS застосовувати механізм , аналогічний дайджест-аутентифікацію , де тимчасове значення вводиться в запит , щоб запобігти повтор.

security ssl https

— себе
джерело

11

так . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS викликає ідентифікатор з'єднання без ідентифікації та його 128 біт.

— Кристапс
джерело

Отже, відповідь "так" можна здійснити атаку повторного відтворення, але протокол SSL робить це досить малоймовірним у реальних сценаріях, щоб зробити атаки повторної роботи майже неможливими.

— Кевін Куфал

5

Ця відповідь не зовсім коректна, оскільки обраний для HTTPS режим аутентифікації налаштовує його на здатність запобігати атаці "людиною в середині" чи повторній атаці. Здебільшого, так, так і є. Але можуть бути реалізовані HTTPS, які не захищають від атаки повторного відтворення.

— patjbs

7

Це залежить від впровадження HTTPS. Це дійсно може бути захищеним від атаки повторної передачі - наприклад, при обміні ключами RSA створюється тимчасовий ключ, який запобігає виконанню атаки повторного відтворення. Однак, я вважаю, що обмін анонімними ключами не забезпечує захист від відтворення.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Додаток F

— патчбс
джерело