是否可以对通过https传输的请求执行重播攻击? 这意味着,https协议是否强制执行类似于摘要访问身份validation的机制,其中在请求中引入了nonce以防止重播。
是的,它确实 。 http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html
HTTPS调用nonce连接id和它的128位长。
这取决于HTTPS的实施。 确实可以防止重放攻击 – 例如在RSA密钥交换中,会创build一个临时密钥来防止执行重放攻击。 但是,我相信匿名密钥交换不提供重播保护。
http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00附录F