【发布时间】:2015-03-01 10:43:16
【问题描述】:
当发起 HTTPS 会话时,会生成一个随机数来创建交换密钥(或类似的东西)。我不明白这是如何防止重放攻击的。
为什么攻击者不能重复真实客户端发出的所有请求?
This answer claims it isn't possible,而this answer claims the opposite。除非涉及随机数,否则我看不出攻击怎么可能发生。
【问题讨论】:
-
因为请求没有意义,基于不同的随机种子?
-
@TZHX 为什么我攻击者不能发送嗅探到的加密 cookie 并连接?对方怎么会知道我还没有“连接”? (我知道我的理解是错误的,所以请知道这些问题只是为了增加我的理解,而不是暗示这些问题的前提是正确的)
标签: https man-in-the-middle replay