Se ho inviato un nome utente e la password a un sito Web oltre HTTPS
, è possibile che qualcuno in rete salvi questa richiesta e la rispedisca più tardi per l'autenticazione sul sito web?
Se qualcuno registra solo la sessione HTTPS crittografata e se la connessione viene servita sulla versione del protocollo TLS protetto con la suite di crittografia avanzata, la risposta è no. Né saranno in grado di decodificare le credenziali né di riprodurre il traffico per creare una sessione fasulla. Il protocollo TLS fornisce l'autenticazione dei messaggi e ha una propria protezione contro gli attacchi di replay.
A meno che non dirottino la tua sessione (a quel punto non ti servirà la re-autenticazione), no. Quando si imposta una nuova sessione, il protocollo TLS negozierà una nuova chiave di sessione. L'autenticazione intercettata verrà quindi crittografata con una chiave diversa, rendendo impossibile per il server comprendere ciò che l'aggressore ha appena inviato. Per maggiori informazioni su come funziona TLS, leggi questa domanda e risposta.
is it possible that someone on the net save this request
Dal momento che HTTPS è in genere una crittografia end-to-end che qualcuno deve trovarsi a uno degli estremi, ad esempio nel client (estensione del browser errata o simile) o nel server (server compromesso) per ottenere la richiesta non crittografata. I dati crittografati non saranno di alcun aiuto.
In caso di intercettazione legale SSL nei firewall che qualcuno possa essere anche lì per accedere alla richiesta in chiaro. L'intercettazione SSL non valida (l'uomo nell'attacco centrale) è simile, ma in questo caso ricevi un avviso del browser che non dovresti ignorare.
re-send it later to authenticate on my web site
Se i dati vengono acquisiti, possono essere nuovamente inviati.
Leggi altre domande sui tag authentication web-application tls