HTTPS如何防止重放攻击?

时间:2015-03-01 10:43:17

标签: https man-in-the-middle replay

启动HTTPS会话时,会生成一个随机数,以便为交换创建密钥(或类似的东西)。我不明白这是如何防止重播攻击的。

为什么攻击者只能重复真实客户端提出的所有请求?

This answer claims it isn't possible,而this answer claims the opposite。我无法看到攻击是不可能的,除非有涉及到的非法。

1 个答案:

答案 0 :(得分:1)

答案就在这里,由@Emirikol提供:https://softwareengineering.stackexchange.com/a/194668/245162

  

HTTPS足以保护服务器免受重播攻击(同样如此)   如果服务器配置为仅允许,则消息被发送两次   根据RFC 2246第F.2节的TLS协议。

这是通过使用消息验证码(MAC)完成的。

另见:https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detail