Bisakah permintaan HTTPS diputar ulang menggunakan Fiddler/TamperData, mungkin karena penanganan proses login yang buruk? Setelah saya logout dari sistem saya (https), saya bisa login kembali menggunakan replay. Simon Buchan telah menyebutkan bahwa HTTPS tidak dapat diputar ulang. Referensi: https://stackoverflow.com/a/2770133/1502619
Jika replay membuat saya login, apakah itu berarti login saya tidak menangani serangan replay atau saya tidak logout dengan benar?
Simon Buchan mencatat (dengan benar) bahwa klien tidak dapat mengirim byte terenkripsi yang sama persis ke server HTTPS dan menerima byte tersebut sebagai valid; salah satu perlindungan yang diberikan HTTPS adalah perlindungan terhadap pemutaran ulang "buta" semacam itu.
Apa yang dilakukan Fiddler & TamperData bukanlah hal yang sama-- alat ini dimulai dengan byte tidak terenkripsi yang sama (misalnya nama pengguna dan sandi Anda) dan membuat koneksi HTTPS baru ke server dan kemudian mengirim lagi permintaan HTTPS ke server pada koneksi baru itu.
Jadi, ini adalah pemutaran ulang dari permintaan HTTPS yang sama, namun bukan pemutaran ulang dari byte mentah yang sama.
Tidak ada cara praktis untuk mencegah alat dengan akses ke data tidak terenkripsi (seperti yang dimiliki Fiddler) untuk masuk ke situs Anda menggunakan informasi tersebut.
