启动HTTPS会话时,会生成一个随机数,以便为交换创建密钥(或类似的东西)。我不明白这是如何防止重播攻击的。
为什么攻击者只能重复真实客户端提出的所有请求?
This answer claims it isn't possible,而this answer claims the opposite。我无法看到攻击是不可能的,除非有涉及到的非法。
答案 0 :(得分:1)
答案就在这里,由@Emirikol提供:https://softwareengineering.stackexchange.com/a/194668/245162
HTTPS足以保护服务器免受重播攻击(同样如此) 如果服务器配置为仅允许,则消息被发送两次 根据RFC 2246第F.2节的TLS协议。
这是通过使用消息验证码(MAC)完成的。
另见:https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detail