如何为普陀地区的企业找到适合的网站建设服务？

普陀企业网站建设,建设网站网址,公司网站案例,wordpress 移除文本框摘要 使用TLS早期数据会暴露出重放攻击的可能性。本文定义了允许客户端与服务器就早期数据中发送的HTTP请求进行通信的机制。描述了使用这些机制来减轻重放风险的技术。 1. 介绍 TLS 1.3[TLS13]引入了早期数据#xff08;也称为零往返时间#xff08;0-RTT#xff09;数…摘要 使用TLS早期数据会暴露出重放攻击的可能性。本文定义了允许客户端与服务器就早期数据中发送的HTTP请求进行通信的机制。描述了使用这些机制来减轻重放风险的技术。 1.  介绍 TLS 1.3[TLS13]引入了早期数据也称为零往返时间0-RTT数据的概念。如果客户端最近与同一服务器通信早期数据允许客户端在连接的第一次往返中向服务器发送数据而无需等待TLS握手完成。 当与HTTP[HTTP]一起使用时早期数据允许客户端立即发送请求从而避免TLS握手所需的一到两次往返延迟。这是一个显著的性能提升然而它有很大的局限性。 使用早期数据的主要风险是攻击者可能会捕获并重放其中包含的请求。TLS[TLS13]描述了可以用来降低攻击者成功重放请求的可能性的技术但这些技术可能很难部署并且仍然会留下一些成功攻击的可能性。 请注意这与自动重试或用户发起的重试不同重放是由攻击者在客户端不知情的情况下发起的。为了帮助降低HTTP中重放的风险本文概述了在服务器中控制这些风险的技术并定义了在早期数据中发送请求时客户端的要求。 本文中的建议也适用于在QUIC[HQ]上的HTTP中使用0-RTT。 2.  HTTP中的早期数据 从概念上讲早期数据与其他应用数据拼接在一起形成单个流。这可能意味着请求完全包含在早期数据中或者请求中只有一部分是早期的。在复用协议中如HTTP/2[RFC7540]或HTTP/QUIC[HQ]多个请求可能在早期数据中部分传递。 本文假设的模型是一旦TLS握手完成在该TLS连接上接收的早期数据就不会是该数据的重放副本。然而需要注意的是这并不意味着早期数据不会或没有在另一个连接上重放。 3.  HTTP服务器支持早期数据 服务器决定在发送TLS会话票据时是否向客户端提供在未来连接上发送早期数据的能力。 TLS[TLS13]要求使用重放检测策略以降低攻击者成功重放早期数据的能力。这些反重放技术减少了但并没有完全消除数据被重放的机会并确定了重放次数的固定上限。 当服务器启用早期数据时可以使用许多技术来降低重放风险   1.服务器可以拒绝TLS层的早期数据。服务器不能选择性地拒绝早期数据因此这会导致在早期数据中发送的所有请求都被丢弃。 2.服务器可以选择将早期数据的处理延迟到TLS握手完成之后。通过延迟处理它可以确保其中的请求只使用成功完成的连接。这为服务器提供了一些保证即早期数据不会被重放。如果服务器在早期数据中接收到多个请求它可以根据每个请求确定是否推迟HTTP处理。 3.在判断重放风险太大的情况下服务器可以通过425Too Early状态码5.2进行响应使客户端重试单个请求而不使用早期数据。 所有这些技术都同样有效服务器可以使用最适合它的方法。 对于给定的请求对重放风险的容忍度是特定于操作的资源的因此只有源服务器知道。与使用早期数据相关的主要风险在于服务器在处理请求时采取的行动处理重复的请求可能会导致重复的效果和副作用。[TLS13]的附录E.5还描述了处理重复请求所产生的其他影响。 请求方法的安全性[RFC7231] 4.2.1是确定这一点的一种方法。然而一些资源安全的方法也会产生副作用因此这不能被普遍依赖。 建议源服务器允许资源明确配置请求中的早期数据是否合适。如果没有这些明确的信息源服务器必须拒绝早期数据或者实施本文的技术以确保在TLS握手完成之前不会处理请求。 一个请求可能会在早期数据中部分发送而请求的其余部分则在握手完成后发送。这并不一定影响对该请求的处理重要的是服务器何时开始对请求的内容采取行动。任何时候任何服务器实例都可能在握手完成之前启动处理所有服务器实例都需要考虑重放早期数据的可能性以及这可能如何影响处理见6.2。 服务器可以部分处理不完整的请求。解析头字段不执行值和确定请求路由可能不会产生副作用但其他操作可能不会。 中间服务器代理没有足够的信息来决定是否可以处理早期数据因此5.2描述了源向他们发出信号的一种方式即特定请求不适合早期数据。接受早期数据的代理必须实施这一机制。 请注意服务器不能选择在TLS层选择性地拒绝早期数据。TLS只允许服务器接受所有早期数据或不接受任何早期数据。一旦服务器决定接受早期数据它必须处理早期数据中的所有请求即使服务器通过发送425Too Early响应来拒绝请求。