Apakah HTTPS cukup untuk menghindari serangan replay?

Saya memaparkan beberapa metode REST di server untuk aplikasi seluler.

Saya ingin menghindari bahwa pengguna dapat mengendus bagaimana metode HTTP dibangun (dari aplikasi seluler) dan kemudian mengirimnya lagi ke server. Contoh:

• Aplikasi seluler mengirim permintaan
• Pengguna menggunakan proxy dan dapat memeriksa apa yang terjadi di jaringan
• Pengguna melihat dan menyimpan permintaan yang baru saja dikirim oleh ponsel
• => Sekarang saya tidak ingin pengguna dapat mengirim secara manual permintaan itu

Apakah cukup untuk mengamankan server melalui HTTPS?

HTTPS dapat mencukupi untuk mengamankan server dari serangan replay (pesan yang sama dikirim dua kali) jika server dikonfigurasikan untuk hanya mengizinkan protokol TLS sesuai rfc2246 bagian F.2.

Data keluar dilindungi dengan MAC sebelum pengiriman. Untuk mencegah serangan replay atau modifikasi pesan, MAC dihitung dari rahasia MAC, nomor urut [...]

HTTPS berarti bahwa data yang diangkut dienkripsi sehingga hanya klien dan server yang dapat mendekripsi (dalam dunia yang ideal, tidak berbicara tentang serangan MITM dll).

Dengan demikian, tidak ada dalam protokol akan menghentikan serangan replay terjadi.

Anda perlu membangun semacam mekanisme penghindaran serangan replay (seperti token yang kedaluwarsa, atau token yang batal setelah proses selesai) untuk memastikan bahwa aplikasi Anda tidak rentan terhadap serangan replay. Mekanisme ini dapat digunakan dengan HTTP normal.