Si envié un nombre de usuario y la contraseña a un sitio web a través de HTTPS
, ¿es posible que alguien en la red guarde esta solicitud y la vuelva a enviar para autenticarse en el sitio?
Si alguien simplemente registra una sesión HTTPS cifrada y si la conexión se realizó a través de la versión segura del protocolo TLS con el conjunto de cifrado fuerte, entonces la respuesta es no. Ni podrán descifrar sus credenciales ni reproducir el tráfico para crear una sesión falsa. El protocolo TLS proporciona autenticación de mensajes y tiene su propia protección contra ataques de reproducción.
A menos que secuestren su sesión (en el momento en el que no necesitaría la autenticación), no. Al configurar una nueva sesión, el protocolo TLS negociará una nueva clave de sesión. Por lo tanto, la autenticación interceptada se cifrará con una clave diferente, lo que hará imposible que el servidor entienda lo que el atacante acaba de enviar. Para obtener más información sobre cómo funciona TLS, lea esta pregunta y respuesta.
es posible que alguien en la red guarde esta solicitud
Dado que HTTPS suele ser un cifrado de extremo a extremo, alguien debe estar en uno de los extremos, es decir, en el cliente (extensión del navegador o similar) o en el servidor (servidor comprometido) para obtener la solicitud sin cifrar. Los datos encriptados no servirán de ayuda.
En el caso de la interceptación de SSL legal en los cortafuegos, alguien puede estar allí para acceder a la solicitud de forma simple. La intercepción SSL ilegal (hombre en el ataque central) es similar, pero en este caso recibe una advertencia del navegador que no debe ignorar.
reenvíelo más tarde para autenticarse en mi sitio web
Si se capturan los datos, se pueden reenviar.
Lea otras preguntas en las etiquetas web-application authentication tls