HTTP через порт 443 против HTTPS через порт 80

http и https обратитесь к используемому протоколу.

http используется для передачи незашифрованного открытого текста, что означает, что передаваемые данные могут быть перехвачены и прочитаны человеком. Например, поля имени пользователя / пароля могут быть захвачены и прочитаны.

https относится к шифрованной связи SSL / TLS. Чтобы его прочитать, его необходимо расшифровать. Обычно / в идеале только конечные точки способны шифровать / дешифровать данные, хотя это заявление с оговорками (см. правку ниже).

Поэтому https можно считать более безопасным, чем http.

: 80 и: 443 относятся только к используемому порту сервера (т.е. это «просто число») и не имеют никакого значения с точки зрения безопасности.

Однако существует строгое соглашение об отправке http через порт 80 и https через порт 443, что делает комбинации в вопросе более чем немного неортодоксальными. Тем не менее, они технически идеально подходят для использования, если конечные точки согласованы и отсутствуют промежуточные объекты фильтрации.

Итак, чтобы ответить, http://example.com:443 менее безопасен, чем https://example.com:80 и разница практическая (хотя ее можно компенсировать несколькими способами), а не просто теоретическая.

Вы можете легко проверить правильность этих утверждений, используя веб-сервер и клиент, где вы манипулируете серверным портом и статусом шифрования, одновременно захватывая и сравнивая каждый сеанс с декодером протокола, таким как wirehark.

[РЕДАКТИРОВАТЬ - предостережения относительно безопасности пути клиент / сервер]

То, что по сути представляет собой атаку «злоумышленник посередине» по протоколу https, может быть выполнено с целью подслушивания или выдачи себя за другое лицо. Это может быть проявление недоброжелательности, благожелательности или, как выясняется, даже из-за незнания, в зависимости от обстоятельств.

Атака может быть проведена либо путем использования слабости протокола, например, сердце ошибка или Уязвимость пуделяили путем создания экземпляра прокси https между клиентом и сервером в сетевом пути или прямо на клиенте.

Я думаю, злонамеренное использование не требует особых объяснений. Доброжелательное использование может быть, например, организацией, проксирующей входящие https-соединения для целей ведение журнала / идентификаторы, или исходящие https-соединения для фильтрация разрешенных / запрещенных приложений. Примером невежественного использования может быть приведенный выше пример Lenovo Superfish или недавний вариант Dell из той же ошибки.

РЕДАКТИРОВАТЬ 2

Вы когда-нибудь замечали, как мир преподносит сюрпризы? Скандал только что разразился в Швеции, где три окружные организации здравоохранения использовали одну и ту же цепочку поставок для регистрации медицинских мероприятий посредством телефонных звонков пациентов.

Таким образом, вопрос получает ответ в широком масштабе. Если бы это был розыгрыш, а не реальное событие ...

Я просто вставлю два фрагмента, переведенных с текст новости в Computer Sweden:

«Компьютерная Швеция сегодня может раскрыть одну из величайших катастроф в истории, связанных с безопасностью и личной неприкосновенностью медицинских пациентов. На открытом веб-сервере без какой-либо защиты паролем или другого метода безопасности мы обнаружили 2,7 миллиона записанных звонков от пациентов в систему здравоохранения по медицинскому консультативному номеру 1177. Эти звонки относятся к 2013 году и содержат 170 000 часов конфиденциального голоса. вызывать файлы, которые может скачать и прослушать любой желающий.

[...]

Звонки были сохранены на сервере хранения Voice Integrated Nordics по IP-адресу. http://188.92.248.19:443/medicall/. TCP-порт 443 указывает, что трафик прошел через https, но сеанс не зашифрован.

Я не могу решить, является ли это еще одним примером невежества или мы видим совершенно новую категорию. Пожалуйста посоветуй.