Chr*_*ton 4 https man-in-the-middle replay
当 HTTPS 会话启动时,会生成一个随机数来创建交换密钥(或类似的东西)。我不明白的是这如何防止重放攻击。
为什么攻击者不能重复真实客户端发出的所有请求?
这个答案声称这是不可能的,而这个答案则声称相反。我不明白攻击如何不可能,除非涉及随机数。
答案就在这里,由@Emirikol提供: https: //softwareengineering.stackexchange.com/a/194668/245162
如果服务器配置为仅允许按照 RFC 2246 第 F.2 节的 TLS 协议,则 HTTPS 足以保护服务器免受重放攻击(同一消息发送两次)。
这是通过使用消息验证代码 (MAC) 来完成的。
另请参阅:https ://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detail
| 归档时间: |
|
| 查看次数: |
3344 次 |
| 最近记录: |