Можно ли воспроизвести запрос HTTPS с помощью Fiddler/TamperData, вероятно, из-за плохой обработки процесса входа в систему? Как только я выхожу из своей системы (https), я могу снова войти в систему, используя повтор. Саймон Бьюкен уже упоминал, что HTTPS нельзя воспроизвести. Ссылка: https://stackoverflow.com/a/2770133/1502619
Если повтор регистрирует меня, означает ли это, что мой логин не справляется с атакой воспроизведения, или я неправильно выхожу из системы?
Саймон Бьюкен отмечает (правильно), что клиент не может отправить точно такие же зашифрованные байты на HTTPS-сервер и заставить его принять их как действительные; одна из мер защиты, предоставляемых HTTPS, — это защита от такого рода «слепого» воспроизведения.
То, что делают Fiddler и TamperData, не одно и то же: эти инструменты начинают с одних и тех же незашифрованных байтов (например, вашего имени пользователя и пароля) и устанавливают новое соединение HTTPS с сервер, а затем снова отправить HTTPS-запрос на сервер по этому новому соединению.
Таким образом, это воспроизведение того же HTTPS-запроса, но не воспроизведение тех же необработанных байтов.
Не существует практического способа запретить инструменту с доступом к незашифрованным данным (например, Fiddler) входить на ваш сайт с использованием этой информации.
