Qual è l'uso di nonces nelle API HTTPS

Il traffico HTTPS non può essere riprodotto ma il suo contenuto potrebbe essere. È possibile che un browser invii più volte una richiesta perché l'utente ha risposto o perché la connessione è scaduta all'ultimo tentativo o simile. In tal caso è necessario un altro nonce per rilevare le richieste API duplicate. Quindi puoi evitare ad es. invio di due paia di scarpe.

Notare la differenza. I pacchetti HTTPS non vengono riprodotti. Il browser potrebbe utilizzare una nuova connessione HTTPS o continuare a utilizzare la stessa connessione, ma sta semplicemente inviando nuovi pacchetti.

Parlando come sviluppatore web, non posso fare a meno di pensare che è semplicemente più semplice per il team di sviluppo implementare gli handle a livello di applicazione piuttosto che interfacciare i dettagli di implementazione di livello inferiore. Come parametri, è proprio accanto a tutti gli altri input di cui il server ha bisogno, e non è complicato da cache, load balancers, handover roaming IP, gestione degli errori del browser, ecc. Dal momento che gli sviluppatori controllano il codice sul fronte e sul retro, espliciti permetti loro di ignorare il mezzo, e non devono coordinarsi con altri team come infra durante lo sviluppo.

Il nonce utilizzato nella crittografia simmetrica, che nel caso di TLS, non è né un contatore né un valore pseudo-casuale usato per generare un testo cifrato, ma invece è un componente del processo di crittografia / decrittografia della chiave condivisa.

Mentre la necessità di un nonce per la crittografia / decrittografia varia dalla modalità di crittografia alla modalità di cifratura, pubblicazione NIST SP 800-38C ( collegamento ) in caso di crittografia in modalità CCM AES definisce il nonce come parametro necessario per la convalida dei dati decrittografati e il relativo tag di autenticazione associato.