Apakah https menyertakan perlindungan dari serangan replay?

11

Apakah mungkin untuk melakukan serangan replay pada permintaan yang ditransfer melalui https? Artinya, apakah protokol https memberlakukan mekanisme yang mirip dengan intisari akses otentikasi di mana notce dimasukkan ke dalam permintaan untuk mencegah replay.

security  ssl  https 
diri
sumber

Jawaban:

11

ya, benar. http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS memanggil nonce connection id dan panjangnya 128 bit.

Kristaps
sumber
Jadi jawabannya adalah ya adalah mungkin untuk melakukan serangan replay tetapi protokol SSL membuatnya cukup tidak mungkin dalam skenario dunia nyata untuk membuat serangan replay hampir tidak mungkin dilakukan.
Kevin Kuphal
5
Jawaban ini tidak sepenuhnya benar, karena mode otentikasi yang dipilih untuk HTTPS mengatur kemampuannya untuk mencegah serangan man-in-the-middle atau replay. Sebagian besar, ya, benar. Tetapi bisa ada implementasi HTTPS yang tidak melindungi terhadap serangan replay.
patjbs
7

Itu tergantung pada implementasi HTTPS. Itu memang bisa aman terhadap serangan replay - misalnya dalam pertukaran kunci RSA, kunci sementara dibuat yang mencegah eksekusi serangan replay. Namun, pertukaran kunci anonim tidak memberikan perlindungan replay, saya percaya.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Lampiran F

patjb
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.