Как HTTPS предотвращает повторные атаки?

Когда инициируется HTTPS-разговор, генерируется случайное число для создания ключа для обмена (или что-то в этом роде). Чего я не понимаю, так это того, как это предотвращает повторные атаки.

Почему злоумышленник не может просто повторить все запросы, сделанные настоящим клиентом?

В этом ответе утверждается, что это невозможно, а этот ответ утверждает обратное. Я не понимаю, как атака была бы невозможна, если бы не были задействованы одноразовые номера.


https man-in-the-middle replay
person Chris Middleton    schedule 01.03.2015    source источник
comment
Потому что запросы не имели бы смысла, если бы они основывались на другом случайном семени?   -  person TZHX    schedule 01.03.2015
comment
@TZHX Почему я, злоумышленник, не могу просто отправить обнюханный зашифрованный файл cookie и подключиться? Как другая сторона узнает, что я еще не подключен? (Я знаю, что мое понимание неверно, поэтому, пожалуйста, знайте, что эти вопросы предназначены только для того, чтобы улучшить мое понимание, а не подразумевать, что посылка этих вопросов верна)   -  person Chris Middleton    schedule 01.03.2015

Ответы (1)


arrow_upward
2
arrow_downward

Ответ здесь, любезно предоставлен @Emirikol: https://softwareengineering.stackexchange.com/a/194668/245162

HTTPS может быть достаточно для защиты сервера от повторных атак (одно и то же сообщение отправляется дважды), если сервер настроен на разрешение только протокола TLS в соответствии с RFC 2246, раздел F.2.

Это делается с помощью кодов аутентификации сообщений (MAC).

См. также: https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detail

person Adrian K    schedule 31.07.2017