Https inclui proteção contra um ataque de repetição?

11

É possível executar um ataque de repetição em uma solicitação transferida via https? Ou seja, o protocolo https aplica um mecanismo semelhante para digerir a autenticação de acesso, onde um nonce é introduzido na solicitação para impedir a reprodução.

a si mesmo
fonte

Respostas:

11

sim . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

O HTTPS chama o ID de conexão nonce e seus 128 bits.

Kristaps
fonte
Portanto, a resposta é sim, é possível executar um ataque de repetição, mas o protocolo SSL torna bastante improvável em cenários do mundo real para tornar quase impossível a execução de ataques de repetição.
22610 Kevin Kuphal
5
Esta resposta não está totalmente correta, pois o modo de autenticação selecionado para HTTPS configura sua capacidade de impedir um ataque intermediário ou de repetição. Na maioria das vezes, sim. Mas pode haver implementações de HTTPS que não protegem contra um ataque de repetição.
patjbs
7

Depende da implementação do HTTPS. Na verdade, ele pode ser seguro contra um ataque de repetição - por exemplo, em uma troca de chaves RSA, uma chave temporária é criada que impede a execução de um ataque de repetição. No entanto, uma troca de chaves anônima não fornece proteção de reprodução, acredito.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Apêndice F

patjbs
fonte