【发布时间】:2011-09-27 09:08:58
【问题描述】:
可能会连续快速接收到HTTP请求,为了避免为每个请求重新运行while协议,客户端可能会重复使用服务器随机数(随机数的时间戳以确定客户端请求有效的窗口)对于多个请求。
使用这种方法有什么优缺点?
【问题讨论】:
标签: http authentication timestamp nonce
【发布时间】:2011-09-27 09:08:58
【问题描述】:
pros of re-using a nonce 是它确实需要更少的资源来维护和检查有效的随机数,并且可以避免流水线请求的身份验证失败:
[…] 方法 选择用于生成和检查 nonce 也具有性能和 资源影响。例如,服务器可以选择允许 通过维护一个记录,每个 nonce 值只能使用一次 每个最近发布的 nonce 是否已被退回,并且 在 Authentication-Info 标头中发送 next-nonce 指令 每个响应的字段。这可以防止即使是立即 重放攻击,但检查 nonce 值的成本很高,也许 更重要的是会导致任何流水线的身份验证失败 请求(可能返回一个陈旧的随机数指示)。
但是,缺点是replay attacks 比一次性随机数更有可能:
对于不可能被重放攻击的应用程序 允许服务器可以使用一次性的 nonce 值 荣幸第二次使用。这需要服务器的开销 记住在 nonce 时间之前使用了哪些 nonce 值- 戳记(以及由此构建的摘要)已过期,但它 有效防止重放攻击。
【讨论】: