端口 443 上的 HTTP 与端口 80 上的 HTTPS

端口 443 上的 HTTP 与端口 80 上的 HTTPS

有什么区别

http://serverfault.com:443https://serverfault.com:80

从理论上来说哪一个更安全?

答案1

httphttps请参阅正在使用的协议。

http用于未加密的明文通信,这意味着传输的数据可能会被人截取并明文读取。例如,用户名/密码字段可能会被捕获和读取。

https指的是 SSL/TLS 加密通信。必须解密才能读取。通常/理想情况下,只有端点能够加密/解密数据,尽管这是一个带有警告的声明(请参阅下面的编辑)。

因此 https 可能被认为比 http 更安全。

:80 和 :443 仅指正在使用的服务器端口(即“只是一个数字”)并且对于安全性而言根本没有任何意义。

但是,有一条严格的惯例是通过端口 80 发送 http,通过端口 443 发送 https,这使得问题中的组合有点不合常规。不过,从技术上讲,只要端点一致且没有中间过滤对象,它们就完全可用。

因此,要回答的是,http://example.com:443安全性低于https://example.com:80并且这种差异是实际的(尽管可以通过多种方式来抵消),而不仅仅是理论上的。

您可以使用 Web 服务器和客户端轻松测试这些语句的有效性,在客户端中您可以操作服务器端口和加密状态,同时捕获每个会话并使用协议解码器(如 wireshark)进行比较。

[编辑- 关于客户端/服务器路径安全性的警告]

本质上相当于 https 中间人攻击的行为可以用于窃听或冒充。根据具体情况,这可能是出于恶意、善意,甚至可能是出于无知。

攻击可以通过利用协议弱点进行,例如心血 漏洞或者贵宾犬的脆弱性或者通过在客户端和服务器之间实例化 https 代理在网络路径中或者直接在客户端上

我认为恶意使用不需要太多解释。例如,一个组织代理传入的 https 连接,用于日志记录/ids或传出 https 连接过滤允许/拒绝的应用程序。无知使用的例子包括上面链接的联想 Superfish 示例或最近的戴尔变化同样的失误。

编辑2

有没有注意到这个世界总是充满惊喜?瑞典刚刚爆发了一起丑闻,三家县议会医疗保健组织使用同一条供应链通过患者电话登记医疗保健事件。

可以说,这个问题因此在宏观层面上得到了答案。如果这只是一个恶作剧而不是一个实际事件……

我将简单粘贴两段翻译自瑞典计算机报的新闻文本

“Computer Sweden 今天揭露了有史以来最严重的医疗患者安全和个人诚信灾难之一。在没有任何密码保护或其他安全措施的开放网络服务器上,我们发现了 270 万个患者通过医疗咨询号码 1177 拨打医疗电话的录音。这些电话可以追溯到 2013 年,包含 170,000 小时的敏感语音通话文件,任何人都可以下载和收听。

[...]

通话已保存在 Voice Integrated Nordics 存储服务器的 IP 地址上http://188.92.248.19:443/medicall/。tcp-port 443 表示流量已通过 https 传递,但会话未加密。

我无法确定这是否是无知的另一个例子,或者我们看到的是一个全新的类别。请提供建议。

相关内容