HTTP через порт 443 против HTTPS через порт 80

В чем разница между

http://serverfault.com:443 и /server/:80

Какой из них более безопасен теоретически?

http и https относятся к используемому протоколу.

http используется для незашифрованного обмена открытым текстом, что означает, что переданные данные могут быть перехвачены и прочитаны человеком в открытом виде. Поля имени пользователя / пароля могут, например, быть захвачены и прочитаны.

https относится к зашифрованной связи SSL / TLS. Это должно быть расшифровано, чтобы быть прочитанным. Обычно / в идеале только конечные точки способны шифровать / дешифровать данные, хотя это утверждение с оговорками ( см. Редактирование ниже ).

Поэтому https можно считать более безопасным, чем http.

: 80 и: 443 относятся только к используемому порту сервера (т. Е. Это «просто число») и не имеют никакого значения для безопасности.

Тем не менее, существует строгое соглашение об отправке http через порт 80 и https через порт 443, что делает комбинации в вопросе более чем неортодоксальными. Тем не менее, они технически идеально подходят для использования, если конечные точки согласованы и отсутствуют промежуточные объекты фильтрации.

Поэтому, чтобы ответить, http://example.com:443 менее безопасен, чем https://example.com:80, и разница практична (даже если ее можно компенсировать несколькими способами), а не только теоретическая.

Вы можете легко проверить правильность этих утверждений, используя веб-сервер и клиент, где вы управляете серверным портом и состоянием шифрования, одновременно захватывая и сравнивая каждый сеанс с декодером протокола, таким как wireshark.

[ РЕДАКТИРОВАТЬ - предостережения относительно безопасности пути клиент / сервер ]

То, что по существу равнозначно атаке «человек посередине» по протоколу https, может быть выполнено с целью подслушивания или олицетворения. Это может быть сделано как акт недоброжелательности, доброжелательности или, как выясняется, даже из-за невежества, в зависимости от обстоятельств.

Атака может быть осуществлена ​​либо путем использования слабости протокола, такого как ошибка сердечного кровотечения или уязвимости Poodle , либо путем создания прокси https между клиентом и сервером в сетевом пути или непосредственно на клиенте .

Думаю, злонамеренное использование не требует особых объяснений. Доброжелательным использованием может быть, например, организация, передающая входящие соединения https для регистрации / идентификаторов , или исходящие соединения https для фильтрации разрешенных / запрещенных приложений . Примером невежественного использования может служить приведенный выше пример Lenovo Superfish или недавний вариант Dell с той же ошибкой.

РЕДАКТИРОВАТЬ 2

Вы когда-нибудь замечали, как мир держит сюрпризы? Скандал только что разразился в Швеции, где три организации здравоохранения районных советов использовали одну и ту же цепочку поставок для регистрации медицинских мероприятий посредством телефонных звонков пациентов.

Как бы то ни было, вопрос, таким образом, получает ответ в широком масштабе вещей. Если бы это была практическая шутка, а не реальное событие ...

Я просто вставлю два фрагмента, переведенных из текста новостей в Computer Sweden :

«Компьютер Швеция» сегодня может выявить одно из величайших бедствий, когда-либо существовавших в отношении безопасности пациентов и личной неприкосновенности На открытом веб-сервере без какой-либо формы защиты паролем или другого метода безопасности мы нашли 2,7 миллиона записанных звонков от пациентов в медицинское учреждение через медицинский консультативный номер 1177. Звонки восходят к 2013 году и содержат 170 000 часов чувствительного голоса. вызывать файлы, которые любой желающий мог скачать и прослушать.

[...]

Вызовы были сохранены на сервере хранения Voice Integrated Nordics по IP-адресу http://188.92.248.19:443/medicall/ . Tcp-порт 443 указывает, что трафик был передан по https, но сеанс не зашифрован.

Я не могу решить, является ли это еще одним примером невежества, или мы видим совершенно новую категорию. Пожалуйста посоветуй.