http用随机数防止重放攻击相关
冒昧向老师提出一个关于http重放攻击的问题。这张图是《http权威指南》中chapter13摘要认证中的内容。
在慕课的一个学习交流群里,有个同学提到面试的时候被问到请求的登陆认证token被截取这个问题应该怎么防范。说的就是重放攻击。然后看书的时候发现这一小节让我很感兴趣。这位同学回答https,面试官对这个答案非常不满意。
我觉得《http权威指南》在这里提出来这个随机数的方法,应该是一个经典的解决方案。请教老师,现今的生产环境中用的是不是这个随机数的方案作为主流?其他的经典防止重放攻击的方案还有哪些呢?
如果用随机数?具体的实现是怎样的?我很多年前玩过剑网三一类的大型的游戏,在交易等关键操作的时候会要求输入从密保助手中获取的随机数。现在想来这个随机数就是为了防止重放攻击的?
1937
收起
正在回答
1回答
面试官如果问同样的问题,我觉得你反问面试官,具体到什么样得场景下。
https能解决很多安全的问题,如:1、数据加密,https得加密机制还是挺完善的,尤其是商业签证后的。2、防止数据篡改,由于传输的数据通过了https,所以能有效的防止数据劫持和篡改。
但如果是涉及到用户的敏感数据,比如用户密码,那这个则要求安全等级更高了,光https的加密是不够的,我们还需要考虑多加入一层保护,那么采用随机数对特定的数据加密是一个好的方式。
总结:你说的重放攻击得具体到场景,单就这种攻击模式,相比随机数方式https的安全机制更有效,但对于更为敏感的数据,采用https+随机数加密 是最好的方式。
0
有任何疑惑可以回复我~
相似问题
登录后可查看更多问答,登录/注册
