এইচটিটিপিএস কি রিপ্লে আক্রমণ এড়াতে যথেষ্ট?

10

আমি একটি মোবাইল অ্যাপ্লিকেশনের জন্য একটি সার্ভারে কয়েকটি REST পদ্ধতি প্রকাশ করছি।

আমি এড়াতে চাই যে ব্যবহারকারীরা কীভাবে এইচটিটিপি পদ্ধতিগুলি তৈরি করা যায় তা (মোবাইল অ্যাপ থেকে) স্নিগ্ধ করতে পারে এবং তারপরে সেগুলি আবার সার্ভারে প্রেরণ করতে পারে। উদাহরণ:

মোবাইল অ্যাপ্লিকেশন একটি অনুরোধ প্রেরণ
ব্যবহারকারী একটি প্রক্সি ব্যবহার করে এবং নেটওয়ার্কে কী চলছে তা পরীক্ষা করতে পারে
ব্যবহারকারী সবেমাত্র মোবাইলটি প্রেরিত অনুরোধটি দেখে এবং সেভ করে
=> এখন আমি চাই না যে ব্যবহারকারী নিজেই সেই অনুরোধটি প্রেরণ করতে সক্ষম হন

এইচটিটিপিএস-এর মাধ্যমে সার্ভারটি সুরক্ষিত করা কি যথেষ্ট?

api https

— MartinMoizard
সূত্র

7

এইচটিটিপিএস সার্ভারকে পুনরায় খেলতে আক্রমণ থেকে সুরক্ষিত করার জন্য যথেষ্ট হতে পারে (একই বার্তা দু'বার প্রেরণ করা হচ্ছে) যদি সার্ভারটি কেবলমাত্র টিএফএস প্রোটোকলকে আরএফসি 2246 বিভাগ F.2 অনুযায়ী অনুমতি দেওয়ার জন্য কনফিগার করা থাকে।

বহির্গামী ডেটা সংক্রমণের আগে একটি ম্যাক দিয়ে সুরক্ষিত। বার্তা পুনরায় খেলতে বা পরিবর্তন আক্রমণ প্রতিরোধ করতে, ম্যাককে ম্যাক গোপন, সিকোয়েন্স নম্বর থেকে গণনা করা হয় [...]

— Emirikol
সূত্র

1

এই আর সত্য সঙ্গে (খসড়া) TLS এর 1.3 যদি 0-RTT টিকেট সক্ষম করা আছে। এছাড়াও - যদিও প্রশ্নের সীমাতে কঠোরভাবে নয় - একটি ওয়েব ব্রাউজার ব্যবহার করা থাকলে একটি রিপ্লে আক্রমণ এখনও বর্তমান টিএলএস সংস্করণ দিয়েও মাউন্ট করা যেতে পারে ।

— অ্যালেক্স শপিলকিন

9

এইচটিটিপিএসের সহজ অর্থ হ'ল পরিবহিত হওয়া ডেটা এনক্রিপ্ট করা যাতে কেবল ক্লায়েন্ট এবং সার্ভার এটি ডিক্রিপ্ট করতে পারে (একটি আদর্শ বিশ্বে, এমআইটিএম আক্রমণ সম্পর্কিত কথা বলছে না)।

যেমন, প্রোটোকলের কোনও কিছুই রিপ্লে আক্রমণগুলি হওয়া থেকে থামবে না।

আপনার অ্যাপ্লিকেশন রিপ্লে আক্রমণে ঝুঁকিপূর্ণ নয় তা নিশ্চিত করার জন্য আপনাকে কোনও ধরণের রিপ্লে আক্রমণ এড়ানোর প্রক্রিয়া তৈরি করতে হবে (টোকেনের মেয়াদ শেষ হওয়ার মতো কিছু, বা প্রক্রিয়া শেষ হওয়ার পরে অবৈধ টোকেনগুলি) to এই প্রক্রিয়াটি সাধারণ এইচটিটিপি দিয়ে ব্যবহার করা যেতে পারে।

— ওবেদের
সূত্র

8

এই উত্তরগুলি বিপরীতটি বলে মনে হচ্ছে: স্ট্যাকওভারফ্লো / প্রশ্ন / 2769992/… কোনও ধারণা কেন পার্থক্য?

— ব্রায়ান আর্মস্ট্রং

1

@ ব্রায়ান আর্মস্ট্রং আমি মনে করি যে বিষয়টি এইচটিটিপিএস-এর বিভিন্ন বাস্তবায়ন রয়েছে যা এমিরিকলের উত্তরে উল্লিখিত রয়েছে। কিছু প্রোটোকল রিপ্লে আক্রমণ প্রতিরোধ করে, আবার কিছু না do (। এটা যখন কী এক্সচেঞ্জ করছেন, RSA কী বিনিময় প্রতিরোধ কিন্তু বেনামী কী এক্সচেঞ্জ না সুত্র: tools.ietf.org/html/draft-ietf-tls-ssl-version3-00#appendix-F ) সুতরাং যে কেন টোকেন ( csrf) -এর মত গুরুত্বপূর্ণ (উল্লেখের দৃশ্যকল্প এখানে: stackoverflow.com/a/2770135/4206925 )

— MewX