ฉันกำลังเปิดเผยวิธี REST สองสามรายการบนเซิร์ฟเวอร์สำหรับแอปมือถือ
ฉันต้องการหลีกเลี่ยงที่ผู้ใช้สามารถดมกลิ่นวิธีการสร้าง HTTP (จากแอพมือถือ) แล้วส่งไปยังเซิร์ฟเวอร์อีกครั้ง ตัวอย่าง:
การรักษาความปลอดภัยเซิร์ฟเวอร์ผ่าน HTTPS เพียงพอหรือไม่
คำตอบ:
HTTPS อาจเพียงพอที่จะรักษาความปลอดภัยเซิร์ฟเวอร์จากการโจมตีซ้ำ (ข้อความเดียวกันจะถูกส่งสองครั้ง) หากเซิร์ฟเวอร์ได้รับการกำหนดค่าให้อนุญาตโปรโตคอล TLS เท่านั้นตามส่วน rfc2246 F.2
ข้อมูลขาออกได้รับการป้องกันด้วย MAC ก่อนการส่ง เพื่อป้องกันการเล่นซ้ำข้อความหรือแก้ไขการโจมตี MAC จะถูกคำนวณจากความลับของ Mac หมายเลขลำดับ [... ]
HTTPS นั้นหมายถึงว่าข้อมูลที่ถูกส่งนั้นถูกเข้ารหัสเพื่อให้ลูกค้าและเซิร์ฟเวอร์เท่านั้นที่สามารถถอดรหัสได้ (ในโลกอุดมคติไม่พูดถึงการโจมตีของ MITM และอื่น ๆ )
ดังนั้นจึงไม่มีสิ่งใดในโปรโตคอลที่จะหยุดไม่ให้มีการโจมตีซ้ำเกิดขึ้น
คุณจะต้องสร้างกลไกการหลีกเลี่ยงการโจมตีแบบเล่นซ้ำ (เช่นโทเค็นที่หมดอายุหรือโทเค็นที่ใช้งานไม่ได้หลังจากกระบวนการเสร็จสิ้น) เพื่อให้แน่ใจว่าแอปพลิเคชันของคุณไม่เสี่ยงต่อการโจมตีซ้ำ กลไกนี้สามารถใช้กับ HTTP ปกติ