HTTPS có đủ để tránh các cuộc tấn công phát lại không?

Tôi đang hiển thị một vài phương thức REST trên máy chủ cho một ứng dụng di động.

Tôi muốn tránh việc người dùng có thể đánh hơi cách các phương thức HTTP được xây dựng (từ ứng dụng di động) và sau đó gửi lại cho máy chủ. Thí dụ :

• Ứng dụng di động gửi yêu cầu
• Người dùng sử dụng proxy và có thể kiểm tra những gì đang diễn ra trên mạng
• Người dùng nhìn thấy và lưu yêu cầu mà điện thoại di động vừa gửi
• => Bây giờ tôi không muốn người dùng có thể gửi yêu cầu đó theo cách thủ công

Có đủ để bảo mật máy chủ qua HTTPS không?

HTTPS có thể đủ để bảo mật máy chủ khỏi các cuộc tấn công phát lại (cùng một thông điệp được gửi hai lần) nếu máy chủ được cấu hình để chỉ cho phép giao thức TLS theo phần F.2 rfc2246.

Dữ liệu gửi đi được bảo vệ bằng MAC trước khi truyền. Để ngăn chặn các cuộc tấn công phát lại hoặc sửa đổi tin nhắn, MAC được tính từ bí mật MAC, số thứ tự [...]

HTTPS đơn giản có nghĩa là dữ liệu đang được vận chuyển được mã hóa để chỉ khách hàng và máy chủ có thể giải mã nó (trong một thế giới lý tưởng, không nói về các cuộc tấn công MITM, v.v.).

Như vậy, không có gì trong giao thức sẽ ngăn các cuộc tấn công phát lại xảy ra.

Bạn sẽ cần xây dựng một số loại cơ chế tránh tấn công phát lại (thứ gì đó như hết hạn mã thông báo hoặc mã thông báo không hợp lệ sau khi quá trình kết thúc) để đảm bảo rằng ứng dụng của bạn không dễ bị tấn công lại. Cơ chế này có thể được sử dụng với HTTP bình thường.