Tekrar oynatma saldırılarını önlemek için HTTPS yeterli mi?

Bir mobil uygulama için bir sunucuda birkaç REST yöntemini açığa vuruyorum.

Kullanıcıların HTTP yöntemlerinin nasıl oluşturulduğunu (mobil uygulamadan) nasıl koklayabilmelerini ve sonra tekrar sunucuya gönderebilmelerini önlemek istiyorum. Misal :

• Mobil uygulama istek gönder
• Kullanıcı bir proxy kullanır ve ağda neler olup bittiğini kontrol edebilir
• Kullanıcı mobilin yeni gönderdiği isteği görür ve kaydeder
• => Şimdi kullanıcının bu isteği manuel olarak gönderebilmesini istemiyorum

Sunucuyu HTTPS üzerinden güven altına almak yeterli mi?

HTTPS tekrar saldırılarına karşı sunucu (Aynı mesaj varlık iki defa gönderilir) sabitlemek için yeterli olabilir eğer sunucu rfc2246 bölüm F.2'deki göre sadece izin TLS protokolüne yapılandırılır.

Giden veriler iletimden önce bir MAC ile korunur. Mesaj tekrarını veya değişiklik saldırılarını önlemek için MAC, MAC sırrından, sıra numarasından [...] hesaplanır.

HTTPS, taşınan verilerin şifrelenmesi anlamına gelir, böylece yalnızca istemci ve sunucu şifresini çözebilir (ideal bir dünyada, MITM saldırıları hakkında konuşmamak vb.).

Bu nedenle, protokolde hiçbir şey tekrar saldırılarının olmasını durduramaz.

Uygulamanızın yeniden saldırılara karşı savunmasız olmamasını sağlamak için bir tür tekrar saldırıdan kaçınma mekanizması (süresi dolan belirteçler veya işlem bittikten sonra geçersiz kılan belirteçler gibi) oluşturmalısınız. Bu mekanizma normal HTTP ile kullanılabilir.