https มีการป้องกันจากการโจมตีซ้ำหรือไม่

11

เป็นไปได้หรือไม่ที่จะทำการโจมตีรีเพลย์ในคำขอที่โอนผ่าน https? หมายความว่าโปรโตคอล https บังคับใช้กลไกที่คล้ายกับการพิสูจน์ตัวตนการเข้าถึงแบบแยกย่อยโดยที่nonceถูกนำมาใช้ในการร้องขอเพื่อป้องกันการเล่นซ้ำ

security ssl https

— ตัวเอง
แหล่งที่มา

11

ใช่ . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS เรียกใช้ id การเชื่อมต่อแบบ nonce และมีความยาว 128 บิต

— Kristaps
แหล่งที่มา

ดังนั้นคำตอบคือใช่มันเป็นไปได้ที่จะทำการโจมตีรีเพลย์ แต่โปรโตคอล SSL ทำให้มันไม่น่าเป็นไปได้อย่างเพียงพอในสถานการณ์โลกแห่งความจริงเพื่อให้การโจมตีรีเพลย์เป็นไปไม่ได้

— Kevin Kuphal

5

คำตอบนี้ไม่ถูกต้องทั้งหมดเนื่องจากโหมดการตรวจสอบความถูกต้องที่เลือกสำหรับ HTTPS ตั้งค่าความสามารถในการป้องกันการโจมตีแบบ man-in-the-the-middle หรือ replay ส่วนใหญ่ใช่มันเป็นเช่นนั้น แต่อาจมีการใช้งาน HTTPS ซึ่งไม่สามารถป้องกันการโจมตีซ้ำได้

— patjbs

7

ขึ้นอยู่กับการใช้งาน HTTPS แน่นอนว่าสามารถป้องกันการโจมตีรีเพลย์ได้ตัวอย่างเช่นในการแลกเปลี่ยนคีย์ RSA คีย์ชั่วคราวถูกสร้างขึ้นซึ่งป้องกันการดำเนินการโจมตีรีเพลย์ อย่างไรก็ตามการแลกเปลี่ยนคีย์ที่ไม่ระบุชื่อไม่ได้ให้การป้องกันการเล่นซ้ำฉันเชื่อว่า

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 ภาคผนวก F

— patjbs
แหล่งที่มา