HTTPS è abbastanza per evitare attacchi di replay?

Sto esponendo alcuni metodi REST su un server per un'app mobile.

Vorrei evitare che gli utenti possano annusare la modalità di creazione dei metodi HTTP (dall'app mobile) e inviarli di nuovo al server. Esempio :

• L'app mobile invia una richiesta
• L'utente utilizza un proxy e può verificare cosa sta succedendo sulla rete
• L'utente vede e salva la richiesta che il cellulare ha appena inviato
• => Ora non voglio che l'utente sia in grado di inviare manualmente tale richiesta

È sufficiente proteggere il server su HTTPS?

HTTPS può essere sufficiente per proteggere il server dagli attacchi di riproduzione (lo stesso messaggio viene inviato due volte) se il server è configurato per consentire solo il protocollo TLS secondo la sezione F.2 di rfc2246.

I dati in uscita sono protetti con un MAC prima della trasmissione. Per impedire la riproduzione di messaggi o attacchi di modifica, il MAC viene calcolato dal segreto MAC, il numero di sequenza [...]

HTTPS significa semplicemente che i dati trasportati sono crittografati in modo che solo il client e il server possano decrittografarli (in un mondo ideale, senza parlare di attacchi MITM ecc.).

Pertanto, nulla nel protocollo impedirà che si verifichino attacchi replay.

Dovrai creare una sorta di meccanismo di prevenzione degli attacchi di replay (qualcosa come i token in scadenza o i token che si invalidano al termine del processo) per garantire che l'applicazione non sia vulnerabile agli attacchi di replay. Questo meccanismo può essere utilizzato con HTTP normale.