Чи достатньо HTTPS, щоб уникнути повторних атак?

Я відкриваю кілька методів REST на сервері для мобільного додатка.

Я хотів би уникати того, щоб користувачі могли нюхати, як побудовані методи HTTP (з мобільного додатку), а потім знову надіслати їх на сервер. Приклад:

• Мобільний додаток надсилає запит
• Користувач використовує проксі і може перевірити, що відбувається в мережі
• Користувач бачить і зберігає запит, який мобільний щойно надіслав
• => Тепер я не хочу, щоб користувач міг вручну надсилати цей запит

Чи достатньо захистити сервер через HTTPS?

HTTPS може бути достатньо для захисту сервера від повторних атак (одне і те ж повідомлення надсилається двічі), якщо сервер налаштований на те, щоб дозволяти протокол TLS відповідно до розділу rfc2246, розділ F.2.

Вихідні дані захищаються MAC перед передачею. Щоб запобігти атаці відтворення чи модифікації повідомлень, MAC обчислюється із секрету MAC, порядкового номера [...]

HTTPS просто означає, що дані, що передаються, шифруються, щоб розшифрувати їх могли лише клієнт та сервер (в ідеальному світі, не кажучи про атаки MITM тощо).

Таким чином, нічого в протоколі не перешкоджає повторному нападу від повторного нападу.

Вам потрібно буде вбудувати якийсь механізм уникнення відтворення повторних атак (щось на зразок закінчуваних термінів, або маркерів, які втрачають чинність після закінчення процесу), щоб переконатися, що ваша програма не вразлива для повторних атак. Цей механізм можна використовувати при звичайному HTTP.