2015-03-01 8 views
1

Когда инициируется разговор HTTPS, создается случайное число для создания ключа для обмена (или что-то в этом роде). Я не понимаю, как это предотвращает повторные атаки.Как HTTPS предотвращает повторные атаки?

Почему злоумышленник не может повторить все запросы, которые сделал настоящий клиент?

This answer claims it isn't possible, while this answer claims the opposite. Я не вижу, как атака будет невозможна, если не будут задействованы несеки.

+0

Поскольку запросы не будут иметь смысл, базируясь от других случайных семян? – TZHX

+0

@TZHX Почему я не могу, злоумышленник, просто отправить зашифрованный зашифрованный файл cookie и подключиться? Как бы другая сторона узнала, что я еще не «подключен»? (Я знаю, что мое понимание ошибочно, поэтому, пожалуйста, знайте, что эти вопросы - просто увеличить мое понимание, а не подразумевать, что предпосылка этих вопросов верна) –

ответ

1

Ответ здесь, любезно @Emirikol: https://softwareengineering.stackexchange.com/a/194668/245162

HTTPS может быть достаточно, чтобы защитить сервер от атак воспроизведения (то же самое сообщение отправляется дважды), если сервер сконфигурирован, чтобы только протокол TLS в соответствии с разделом F.2 RFC 2246.

Это делается с использованием кодов аутентификации сообщений (MAC).

Также смотрите: https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detail