SSL и безопасность в Интернете: запрос на повторную отправку

Question

Скажем, я отправляю запрос HTTPS в REST API. Запрос инициирует платеж.

Может кто-нибудь посередине просто захватить запрос, угадать, что это запрос платежа и повторно отправлен в API, чтобы дважды запустить этот платеж?

Это независимо от того, что связь зашифрована с помощью SSL, а сервер и клиент используют временные токены для аутентификации, а не пароли, не так ли?

Я понимаю, что этот вопрос очень широк и общий - общие ответы были бы поэтому приветствуются.

Спасибо.

Answer 1

То, что вы описали, называется «повторной атакой», а TLS/SSL разработан, чтобы победить их.

От TLS RFC:

Для предотвращения повторного воспроизведения сообщения или модификации атаки, MAC вычисляются по секрету MAC, порядковый номер, длина сообщения, содержание сообщения, а также две строк фиксированных характера.