คำขอ HTTPS สามารถเล่นซ้ำโดยใช้ Fiddler/TamperData ได้หรือไม่ อาจเนื่องมาจากการจัดการกระบวนการเข้าสู่ระบบไม่ดี เมื่อฉันออกจากระบบ (https) ฉันสามารถเข้าสู่ระบบอีกครั้งโดยใช้การเล่นซ้ำ Simon Buchan ได้กล่าวไปแล้วว่า HTTPS ไม่สามารถเล่นซ้ำได้ อ้างอิง: https://stackoverflow.com/a/2770133/1502619
หากฉันเข้าสู่ระบบการเล่นซ้ำ นั่นหมายความว่าการเข้าสู่ระบบของฉันไม่สามารถจัดการกับการโจมตีการเล่นซ้ำได้ หรือว่าฉันออกจากระบบไม่ถูกต้องใช่หรือไม่
Simon Buchan ตั้งข้อสังเกต (อย่างถูกต้อง) ว่าไคลเอ็นต์ไม่สามารถส่ง ไบต์ที่เข้ารหัสเดียวกันทุกประการ ไปยังเซิร์ฟเวอร์ HTTPS และกำหนดให้ไคลเอ็นต์ยอมรับว่าถูกต้อง การป้องกันประการหนึ่งที่ HTTPS มีให้คือการป้องกันการเล่นซ้ำแบบ "มองไม่เห็น"
สิ่งที่ Fiddler & TamperData ทำนั้นไม่เหมือนกัน เครื่องมือเหล่านี้เริ่มต้นด้วยไบต์ ที่ไม่ได้เข้ารหัส เดียวกัน (เช่น ชื่อผู้ใช้และรหัสผ่านของคุณ) และสร้างการเชื่อมต่อ HTTPS ใหม่ เพื่อ เซิร์ฟเวอร์แล้วส่งคำขอ HTTPS ไปยังเซิร์ฟเวอร์อีกครั้งในการเชื่อมต่อใหม่นั้น
ดังนั้นจึงเป็นการ เล่นซ้ำ ของคำขอ HTTPS เดียวกัน แต่ไม่ใช่ เล่นซ้ำ ของไบต์ดิบเดียวกัน
ไม่มีวิธีที่ปฏิบัติได้จริงในการป้องกันไม่ให้เครื่องมือที่เข้าถึงข้อมูลที่ไม่ได้เข้ารหัส (เช่น Fiddler มี) เข้าสู่ระบบไซต์ของคุณโดยใช้ข้อมูลนั้น
