क्या HTTPS रिप्ले हमलों से बचने के लिए पर्याप्त है?

10

मैं एक मोबाइल ऐप के लिए सर्वर पर कुछ REST विधियों को उजागर कर रहा हूं।

मैं इससे बचना चाहूंगा कि उपयोगकर्ता HTTP तरीकों का निर्माण (मोबाइल ऐप से) कर सकते हैं और फिर उन्हें सर्वर पर भेज सकते हैं। उदाहरण :

मोबाइल ऐप एक अनुरोध भेजते हैं
उपयोगकर्ता एक प्रॉक्सी का उपयोग करता है और यह जांच सकता है कि नेटवर्क पर क्या हो रहा है
उपयोगकर्ता मोबाइल द्वारा भेजे गए अनुरोध को देखता है और सहेजता है
=> अब मैं नहीं चाहता कि उपयोगकर्ता मैन्युअल रूप से उस अनुरोध को भेजने में सक्षम हो

क्या HTTPS पर सर्वर को सुरक्षित करना पर्याप्त है?

api https

— MartinMoizard
स्रोत

7

HTTPS सर्वर को फिर से खेलना हमलों (एक ही संदेश दो बार भेजा जा रहा है) से सुरक्षित करने के लिए पर्याप्त हो सकता है यदि सर्वर को केवल rfc2246 खंड F.2 के अनुसार TLS प्रोटोकॉल की अनुमति देने के लिए कॉन्फ़िगर किया गया है।

आउटगोइंग डेटा ट्रांसमिशन से पहले मैक के साथ सुरक्षित है। संदेश रिप्ले या संशोधन के हमलों को रोकने के लिए, मैक मैक रहस्य, अनुक्रम संख्या […] से गणना की जाती है

— Emirikol
स्रोत

1

यदि 0-RTT टिकट सक्षम हैं तो यह (ड्राफ्ट) TLS 1.3 के साथ सही नहीं है । इसके अलावा- हालांकि सवाल के दायरे में सख्ती नहीं है- वेब ब्राउजर का उपयोग करने पर भी वर्तमान टीएलएस संस्करणों के साथ रिप्ले अटैक को अभी भी माउंट किया जा सकता है ।

— एलेक्स शिल्किन

9

HTTPS का सीधा मतलब है कि ट्रांसपोर्ट किया जा रहा डेटा एन्क्रिप्ट किया गया है ताकि केवल क्लाइंट और सर्वर इसे डिक्रिप्ट कर सकें (एक आदर्श दुनिया में, MITM हमलों आदि के बारे में बात नहीं कर रहे हैं)।

जैसे, प्रोटोकॉल में कुछ भी रिप्ले हमलों को होने से नहीं रोकेगा।

आपको यह सुनिश्चित करने के लिए कि आपके आवेदन को फिर से खेलना हमलों के लिए असुरक्षित नहीं है, कुछ प्रकार के रिप्ले हमले से बचने के तंत्र (जैसे कि टोकन समाप्त होने की प्रक्रिया, या प्रक्रिया समाप्त होने के बाद टोकन समाप्त करना) में निर्माण करना होगा। इस तंत्र का उपयोग सामान्य HTTP के साथ किया जा सकता है।

— Oded
स्रोत

8

यह उत्तर इसके विपरीत सुझाव देता है: stackoverflow.com/questions/2769992/… किसी भी विचार में अंतर क्यों?

— ब्रायन आर्मस्ट्रांग

1

@BrianArmstrong मुझे लगता है कि मुद्दा यह है कि एचटीटीपीएस में अलग-अलग कार्यान्वयन हैं जैसा कि एमिरिकोल के उत्तर द्वारा बताया गया है। कुछ प्रोटोकॉल रिप्ले हमलों को रोकते हैं, जबकि कुछ नहीं करते हैं। (ऐसा तब होता है जब कुंजी विनिमय करते समय, RSA कुंजी विनिमय रोकता है लेकिन अनाम कुंजी विनिमय नहीं करता है। Ref: tools.ietf.org/html/draft-ietf-tls-ssl-version3-00#appendix-F ) तो क्यों टोकन ( जैसे सीएसआरएफ) महत्वपूर्ण हैं (संदर्भ परिदृश्य यहां है: stackoverflow.com/a/2770135/4206925 )

— मेवएक्स