埠 443 上的 HTTP 與埠 80 上的 HTTPS
和有什麼區別
http://serverfault.com:443和 https://serverfault.com:80
理論上哪個更安全?
http和https指的是使用的協議。
http用於未加密的明文通信,這意味著傳輸的數據可能會被人類截取和讀取。例如,可以擷取和讀取使用者名/密碼欄位。
https指的是 SSL/TLS 加密通信。必須解密才能閱讀。通常/理想情況下,只有端點能夠加密/解密數據,儘管這是一個帶有警告的聲明(參見下面的編輯)。
因此,https 可能被認為比 http 更安全。
:80 和 :443 僅指正在使用的伺服器埠(即“只是一個數字”),在安全性方面根本沒有意義。
但是,通過埠 80 發送 http 和通過埠 443 發送 https 有一個嚴格的約定,這使得問題中的組合有點不正統。但是,只要端點一致並且沒有中間過濾器對象,它們在技術上是完全可用的。
所以回答一下,http ://example.com :443 不如*https://example.com:80*安全,而且區別是實際的(即使它可以通過多種方式抵消),而不僅僅是理論上的。
您可以使用網路伺服器和客戶端輕鬆測試這些語句的有效性,您可以在其中操作伺服器埠和加密狀態,同時使用協議解碼器(如wireshark)擷取和比較每個會話。
[編輯- 關於客戶端/伺服器路徑安全性的警告]
可以出於竊聽或冒充的目的執行基本上相當於 https 中間人攻擊的攻擊。視情況而定,它可能是一種惡意、仁慈的行為,甚至可能是由於無知而造成的。
攻擊可以通過利用諸如heartbleed bug或Poodle 漏洞之類的協議弱點,或者通過在網路路徑中或直接在客戶端上實例化客戶端和伺服器之間的 https 代理來完成。
我認為惡意使用不需要太多解釋。善意的用途將是例如一個組織代理傳入的 https 連接以用於記錄/ids或傳出的 https 連接以過濾允許/拒絕的應用程序。無知使用的一個例子是上面連結的聯想 Superfish 範例或最近的戴爾變體相同的失誤。
編輯 2
有沒有註意到這個世界是如何讓驚喜不斷出現的?瑞典剛剛爆發了一起醜聞,三個縣議會醫療保健組織使用相同的供應鏈通過患者電話登記醫療保健事件。
可以說,這個問題由此得到了宏觀上的答案。如果只是一個惡作劇而不是實際事件……
我將簡單地粘貼從瑞典電腦的新聞文本中翻譯的兩個片段:
“今天,電腦瑞典可以揭示有關醫療保健患者安全和個人誠信的最大災難之一。在沒有任何形式的密碼保護或其他安全方法的開放網路伺服器上,我們發現了 270 萬個患者通過醫療諮詢號碼 1177 撥打醫療保健的電話錄音。這些電話可以追溯到 2013 年,包含 170,000 小時的敏感語音任何人都可以下載和收聽的通話文件。
$$ … $$ 呼叫已保存在 IP 地址http://188.92.248.19:443/medicall/的 Voice Integrated Nordics 儲存伺服器上。Tcp-port 443 表示流量已通過 https,但會話未加密。
我無法確定這是否是另一個無知的例子,或者我們是否看到了一個全新的類別。請指教。