Https, tekrar saldırılarına karşı koruma içeriyor mu?

11

Https ile aktarılan bir istek üzerine tekrar saldırı gerçekleştirmek mümkün müdür? Yani, https protokolü tekrarın önlenmesi talebine bir nonce eklendiğinde özet erişim kimlik doğrulamasına benzer bir mekanizma uygular mı?

security ssl https

— kendini
kaynak

11

Evet öyle . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS, nonce bağlantı kimliğini ve 128 bit uzunluğunu çağırır.

— Kristaps
kaynak

Bu nedenle cevap evet, bir tekrar saldırısı gerçekleştirmek mümkündür, ancak SSL protokolü, tekrar oynatma saldırılarını gerçekleştirmeyi imkansız hale getirmek için gerçek dünya senaryolarında yeterince olanaksız hale getirir.

— Kevin Kuphal

5

HTTPS için seçilen kimlik doğrulama modu ayarlandığından, bu yanıt tamamen doğru değildir, ortadaki bir adamı veya yeniden oynatma saldırısını önleme yeteneği. Çoğunlukla, evet, öyle. Ancak bir tekrar saldırısına karşı koruma sağlamayan HTTPS uygulamaları olabilir.

— patjbs

7

HTTPS'nin uygulanmasına bağlıdır. Gerçekten bir tekrar saldırısına karşı güvenli olabilir - örneğin bir RSA anahtar değişiminde, bir tekrar saldırısının yürütülmesini önleyen geçici bir anahtar oluşturulur. Ancak, anonim bir anahtar değişiminin tekrardan koruma sağlamadığını düşünüyorum.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Ek F

— patjbs
kaynak