HTTP-аутентификация, запрос получен в быстрой последовательности

Question

HTTP-запрос может быть получен в быстрой последовательности, чтобы избежать повторного запуска протокола while для каждого запроса, одноразовый номер сервера может быть повторно использован (временная метка для одноразового номера для определения окна, в котором действителен запрос клиента) клиентом для нескольких запросов.

Каковы плюсы и минусы использования этого метода?

Answer 1

Преимущества повторного использования одноразового номера заключаются в том, что для поддержки и проверки допустимых одноразовых номеров требуется меньше ресурсов и что можно избежать ошибок аутентификации для конвейерных запросов:

[…] метод выбранный для генерации и проверки одноразового номера также имеет производительность и последствия для ресурсов. Например, сервер может разрешить каждое одноразовое значение будет использоваться только один раз, поддерживая запись был ли возвращен каждый недавно выданный одноразовый номер и отправка директивы next-nonce в заголовке Authentication-Info поле каждого ответа. Это защищает от даже немедленного Атака воспроизведения, но имеет высокую стоимость проверки одноразовых значений, и, возможно, более важно приведет к сбоям аутентификации для любого конвейерного запросы (предположительно возвращающие устаревшие одноразовые указания).

Однако, минусы в том, что повторные атаки более вероятны, чем с одноразовыми одноразовыми номерами:

Для приложений, где невозможна повторная атака допускается, что сервер может использовать одноразовые одноразовые значения, которые не будут удостоен за второе использование. Это требует накладных расходов сервера запоминание, какие значения одноразового номера использовались до печать (и, следовательно, дайджест, созданный с его помощью) истек, но это эффективно защищает от повторных атак.