아마존의 인증 프로세스에 대해 읽었으며 각 요청에 서명하는 사용자 지정 프로세스를 사용합니다. 요청을보고 서명을 보는 모든 사람이 다시 같은 요청을 발행 할 수 있기 때문에아마존 휴식 서비스 인증 및 보안
나는 여전히 모든 요청을 서명하는 것은 중간자 atack에서 중지하는 방법을 이해하지 않습니다.
누군가 보안 또는 amazon 웹 서비스 또는 웹 서비스에 대한 일부 참고 문헌을 공유하면 나는 또한 사과합니다.
이 상황에서 SSL이 어떻게 도움이 될 수 있습니까?
고마워요!
여기에 documentation의 의견이 있습니다. 기본적으로 타임 스탬프까지 내려 가서 재연 공격을 완화하기 위해 그들은 using SSL을 제안합니다.
인증하는 정보를 확인하여 인증에 AWS
요청 요청 내에 포함 신청. 이 확인은 다음 표의 정보를 사용하여 수행됩니다.
는 보낸 사람의 AWS 계정이 액세스 키 ID로 식별됩니다 AWSAccessKeyId. Access Key ID는 Secret Access Key를 찾기 위해 사용됩니다.
서명 인증 된 요청을 필요로하는 웹 서비스에 대한 각 요청에는 유효한 요청 서명이 포함되어야하며 그렇지 않으면 요청이 거부됩니다. 요청 서명은 AWS에 의해 개발자 계정에 할당 된 비밀 키를 사용하여 계산 된 이며 AWS와 개발자에게만 알려진 공유 비밀입니다.
타임 스탬프 요청이 생성 된 날짜와 시간이며 UTC로 된 문자열로 표시됩니다. 이 매개 변수의 값 형식은 XML 스키마 dateTime 데이터 형식의 형식과 일치해야합니다.
두 번째 링크는이 제공하는 : 재생 공격에 대한 방어를위한
가장 좋은 메커니즘은 모든 요청이 SSL 연결을 통해 만들어집니다 보장하는 것입니다. SSL을 사용할 수없는 경우 공격의 재생을 방지하기 위해 사용할 수있는 메커니즘은 서명 버전 2의 Expires 매개 변수입니다.이 경우 클라이언트가 원자 시간 (NTP 또는 유사한 동기화 프로토콜)을 사용하여 동기화해야합니다 ( ) . Expires 매개 변수 ( )를 사용하지 않고 timestamp 매개 변수에만 의존하는 경우 요청은 이며 요청 만료 기간은 서비스마다 다르지만 (15 분) 일 수 있습니다.
그래서 내가 man-in-the-middle 공격으로부터 완전히 보호 받기 위해서는 SSL을 사용해야 만합니까? – danielrvt
SSL은 MITM 공격에 대한 훌륭한 방어 수단입니다. – GalacticJello
서명이 URL에 전달되고 요청 헤더 안에없는 경우는 어떻습니까? – codemagician