http và https đề cập đến giao thức được sử dụng.
http được sử dụng để liên lạc với văn bản rõ ràng không được mã hóa, điều đó có nghĩa là dữ liệu được truyền có thể bị chặn và đọc bởi người. Trường tên người dùng / mật khẩu có thể được nắm bắt và đọc.
https đề cập đến giao tiếp được mã hóa SSL / TLS. Nó phải được giải mã để được đọc. Thông thường / lý tưởng chỉ có các điểm cuối có khả năng mã hóa / giải mã dữ liệu, mặc dù đây là một tuyên bố có cảnh báo ( xem chỉnh sửa bên dưới ).
Do đó, https có thể được coi là an toàn hơn http.
: 80 và: 443 chỉ đề cập đến cổng máy chủ đang sử dụng (nghĩa là "chỉ là một số") và hoàn toàn không có ý nghĩa gì liên quan đến bảo mật.
Tuy nhiên, có một quy ước mạnh mẽ để gửi http qua cổng 80 và https qua cổng 443, điều này làm cho các kết hợp trong câu hỏi nhiều hơn một chút không chính thống. Chúng hoàn toàn có thể sử dụng về mặt kỹ thuật, miễn là các điểm cuối đồng ý và không có đối tượng lọc trung gian.
Vì vậy, để trả lời, http://example.com:443 kém an toàn hơn https://example.com:80 và sự khác biệt là thực tế (mặc dù nó có thể được bù theo một số cách) và không chỉ là lý thuyết.
Bạn có thể dễ dàng kiểm tra tính hợp lệ của các câu lệnh này bằng máy chủ web và máy khách nơi bạn thao tác với cổng máy chủ và trạng thái mã hóa, trong khi chụp và so sánh từng phiên với bộ giải mã giao thức như wireshark.
[ EDIT - hãy cẩn thận về tính bảo mật của đường dẫn máy khách / máy chủ ]
Những gì về cơ bản lên tới một cuộc tấn công trung gian https có thể được thực hiện cho mục đích nghe lén hoặc mạo danh. Nó có thể được thực hiện như một hành động xấu xa, nhân từ hoặc hóa ra ngay cả do sự thiếu hiểu biết, tùy thuộc vào hoàn cảnh.
Vụ tấn công có thể được thực hiện hoặc thông qua khai thác một điểm yếu giao thức như các heartbleed lỗi hoặc lỗ hổng Poodle , hoặc thông qua instantiating một proxy https giữa client và server trong đường dẫn mạng hoặc trực tiếp trên máy khách .
Việc sử dụng độc hại không cần giải thích nhiều, tôi nghĩ vậy. Ví dụ, việc sử dụng nhân từ sẽ là một tổ chức ủy quyền các kết nối https đến cho mục đích ghi nhật ký / id hoặc kết nối https đi để lọc các ứng dụng được phép / bị từ chối . Một ví dụ về việc sử dụng không biết gì sẽ là ví dụ Lenovo Superfish được liên kết ở trên hoặc biến thể Dell gần đây của cùng một lần trượt.
CHỈNH SỬA 2
Đã bao giờ nhận thấy làm thế nào giữ cho những bất ngờ sắp tới? Một vụ bê bối vừa nổ ra ở Thụy Điển, nơi ba tổ chức chăm sóc sức khỏe của hội đồng quận đã sử dụng cùng một chuỗi cung ứng để đăng ký các sự kiện chăm sóc sức khỏe thông qua các cuộc gọi điện thoại của bệnh nhân.
Như vậy, câu hỏi nhờ đó có được câu trả lời trên quy mô lớn của mọi thứ. Nếu chỉ là một trò đùa thực tế và không phải là một sự kiện thực tế ...
Tôi chỉ đơn giản sẽ dán hai đoạn được dịch từ văn bản tin tức trong Máy tính Thụy Điển :
Ngày nay, máy tính Thụy Điển có thể tiết lộ một trong những thảm họa lớn nhất liên quan đến an ninh chăm sóc sức khỏe bệnh nhân và tính toàn vẹn cá nhân. Trên một máy chủ web mở mà không có bất kỳ hình thức bảo vệ mật khẩu hoặc phương pháp bảo mật nào khác, chúng tôi đã tìm thấy 2,7 triệu cuộc gọi được ghi lại từ bệnh nhân đến chăm sóc sức khỏe thông qua số tư vấn y tế 1177. Các cuộc gọi trở lại năm 2013 và chứa 170.000 giờ giọng nói nhạy cảm gọi tập tin mà bất cứ ai cũng có thể tải về và nghe.
[...]
Các cuộc gọi đã được lưu trên máy chủ lưu trữ Thoại tích hợp giọng nói tại địa chỉ IP http://188.92.248.19:443/medicall/ . Cổng Tcp 443 cho biết lưu lượng đã được chuyển qua https, nhưng phiên không được mã hóa.
Tôi không thể quyết định nếu đây là một ví dụ khác về sự thiếu hiểu biết, hoặc nếu chúng ta đang thấy một thể loại hoàn toàn mới. Vui lòng cho lời khuyên.