Nessuno proteggerà da un replay attatto.
Nel primo caso, tutto ciò che l'utente malintenzionato deve fare è regolare il timestamp.
Nel secondo caso, poiché H () non dovrebbe essere segreto e dal momento che il timestamp è noto, e l'attaccante può anche regolare la richiesta creando un H (timestamp) valido. C'è anche il problema che devi sincronizzare client e server in modo che abbiano entrambi lo stesso valore di timestamp.
Il modo migliore per impedire l'attacco di riproduzione è usare challenge-response (ce ne sono altri modi per farlo, a seconda delle esigenze).
Leggi altre domande sui tag attack-prevention timestamp