क्या https के माध्यम से हस्तांतरित एक अनुरोध पर फिर से खेलना हमला करना संभव है? मतलब, क्या https प्रोटोकॉल एक्सेस प्रमाणीकरण को पचाने के समान एक तंत्र को लागू करता है जहां एक गैर-प्रतिनिधि को फिर से खेलना रोकने के अनुरोध में पेश किया जाता है।
क्या https के माध्यम से हस्तांतरित एक अनुरोध पर फिर से खेलना हमला करना संभव है? मतलब, क्या https प्रोटोकॉल एक्सेस प्रमाणीकरण को पचाने के समान एक तंत्र को लागू करता है जहां एक गैर-प्रतिनिधि को फिर से खेलना रोकने के अनुरोध में पेश किया जाता है।
जवाबों:
हाँ यह करता है । http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html
HTTPS नॉन कनेक्शन आईडी और इसके 128 बिट्स को लंबा कहता है।
यह HTTPS के कार्यान्वयन पर निर्भर करता है। यह वास्तव में एक रिप्ले हमले के खिलाफ सुरक्षित हो सकता है - उदाहरण के लिए एक आरएसए कुंजी विनिमय में, एक अस्थायी कुंजी बनाई जाती है जो रिप्ले हमले के निष्पादन को रोकती है। हालांकि, एक अनाम कुंजी विनिमय रिप्ले सुरक्षा प्रदान नहीं करता है, मेरा मानना है।
http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 परिशिष्ट F