¿Qué tan efectivas son las marcas de tiempo como contramedida para los ataques de Repetición?

Navega tus respuestas
0

Estaba leyendo la entrada de wiki para los ataques de Repetición . Menciona que las marcas de tiempo se pueden utilizar como una contramedida contra tales ataques:

  

La marca de tiempo es otra forma de prevenir un ataque de repetición.   La sincronización debe lograrse utilizando un protocolo seguro. por   ejemplo, Bob emite periódicamente la hora en su reloj juntos   con un MAC. Cuando Alice quiere enviarle un mensaje a Bob, la incluye   La mejor estimación de la hora en su reloj en su mensaje, que también es   autenticado Bob solo acepta mensajes para los cuales la marca de tiempo es   dentro de una tolerancia razonable. La ventaja de este esquema es que   Bob no necesita generar (pseudo) números aleatorios, con la   la compensación es que los ataques de repetición, si se realizan rápidamente   suficiente, es decir, dentro de ese límite "razonable", podría tener éxito.

No soy un experto en esto, de hecho, soy muy nuevo en estos conceptos pero eso suena extremadamente inseguro.

  1. En realidad, ¿qué tan fácil es estar dentro del límite razonable?
  2. ¿Cuáles son las contramedidas más utilizadas contra este tipo de ataque? ¿Tokens?
pregunta turnip 27.10.2017 - 12:51
fuente

2 respuestas

2

  1. Esto depende únicamente de la tolerancia en sí misma. Por lo general, será razonable tolerar algunos microsegundos de sesgo siempre que el tiempo del latido del corazón sea en intervalos razonablemente cortos.

  2. Nonces; un tipo especial de "token": por cierto, las marcas de tiempo también pueden ser un token :)

respondido por el Tobi Nary 27.10.2017 - 13:53
fuente
1

Escribí un mecanismo anti reproducción basado en la marca de tiempo en una API que escribí. El cliente generaría una marca de tiempo, la procesaría y la enviaría al servidor. Cuando uno de los servidores dejó de hablar con el servidor de tiempo y se desvió, el sistema comenzó a rechazar las solicitudes. Esto realmente le da un vector de ataque, si puede cambiar la hora, puede crear una denegación de servicio.

Su marca de tiempo debe permitir suficiente tiempo para moverse entre las máquinas que los generan y validan. Esto suena obvio, pero tenga en cuenta que si la aplicación que recibe necesita despertarse algunas veces después de dormir debido a la falta de solicitudes, ese tiempo adicional podría hacer que la solicitud se elimine.

Si se implementa correctamente, es efectivo, debe asegurarse de que su marca de tiempo no se pueda modificar en tránsito o que el atacante pueda manipularlos.

    
respondido por el iainpb 28.10.2017 - 19:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo evitar las solicitudes desde la consola del navegador mientras sigo usando ajax? [duplicar] ¿Por qué no puedo abrir la página de configuración de Chrome desde JavaScript?