In che modo SSL / TLS identifica un utente legittimo? [duplicare]

1

La mia domanda è cosa succede se un utente malintenzionato prende un pacchetto crittografato dalla rete e lo invia per suo conto al server. In che modo il server identificherà che non è un utente legittimo. In HTTP utilizzando i cookie otteniamo l'identità di un utente altrimenti, HTTP è un protocollo stateless, ora come fa HTTPS a renderlo stato?

    
posta user156991 14.02.2017 - 05:42
fonte

2 risposte

1

Hai detto che l'attaccante sta "prendendo un pacchetto crittografato dalla rete". Il pacchetto è crittografato, quindi l'utente malintenzionato non può leggerlo o modificarlo. Se l'autore dell'attacco può leggerlo o modificarlo, deve conoscere la chiave (o aver infranto la crittografia, ma ciò è molto improbabile per le moderne suite di crittografia). HTTPS non protegge da un utente malintenzionato che conosce la chiave. La conoscenza della chiave è l'identificazione dell'utente legittimo.

    
risposta data 14.02.2017 - 06:11
fonte
0

Non puoi semplicemente prendere un pacchetto da un flusso TLS e inserirlo in qualche altro flusso TLS perché almeno la chiave di crittografia differisce e quindi la decrittografia fallirà. Inoltre, non è possibile prendere un pacchetto e inserirlo nuovamente nello stesso flusso TLS in un'altra posizione, poiché TLS protegge anche da tali attacchi di riproduzione. Per maggiori dettagli vedi Come funziona SSL / TLS?

    
risposta data 14.02.2017 - 06:36
fonte

Leggi altre domande sui tag