3

ダイジェスト認証について言及しているスタックオーバーフローに関する多くの質問を見つけました。ダイジェスト認証がリプレイ攻撃をどのように防止するかについて、私は見つけられませんでしたか? フィドラー ツールを使用して、サーバーへの http 要求をインターセプトします。サーバーへのリクエストをリプレイするために同じツールを使用しましたが、サーバーは認証を要求しました。

リプレイ攻撃の防止がどのように達成されるかを正確に理解する必要があります。サーバーはどのようにして http リクエストのリプレイを検出できますか?

リンク/リソースをいただければ幸いです。

4

1 に答える 1

7

ダイジェスト認証は、サーバー指定のナンスを使用してリプレイ攻撃を防ぎます。クライアントが認証されていない要求を行おうとすると、サーバーはランダムなナンスを生成します。クライアントはナンスを応答に組み込む必要があります。リプレイを防ぐために、有効なナンスを管理し、使用されたときにそれらを無効にするのはサーバー次第です。

于 2011-04-11T01:17:20.450 に答える