HTTP qua cổng 443 so với HTTPS qua cổng 80


21

Sự khác biệt giữa

http://serverfault.com:443/server/:80

Cái nào an toàn hơn về mặt lý thuyết?


3
HTTPS qua cổng 80 có thể xảy ra nhưng chỉ trong giao tiếp giữa máy chủ với máy chủ, các trình duyệt không hỗ trợ điều đó. Bảo mật không phải là về cổng, nó là về một giao thức.
Anatoly

4
Các trình duyệt @Anatoly hỗ trợ HTTPS qua cổng 80, chỉ là họ không mặc định với nó. Cổng mặc định cho HTTPS trong trình duyệt là 443, nhưng thực tế bạn có thể ghi đè lên đó trong bất kỳ trình duyệt nào. Tôi nghĩ rằng đây là những gì bạn có ý nghĩa, nhưng tôi muốn làm rõ cho bất cứ ai khác.
Bão phát triển

@Hurricane Phát triển nhận xét của tôi về cơ bản là những gì các kỹ sư cốt lõi của Nginx đã nói trên diễn đàn Nginx vào thời điểm đó, không chắc mọi thứ có thể thay đổi theo thời gian như thế nào.
Anatoly

@Anatoly Fari đủ, chỉ cần thêm một số thông tin.
Bão phát triển

Câu trả lời:


26

httphttps đề cập đến giao thức được sử dụng.

http được sử dụng để liên lạc với văn bản rõ ràng không được mã hóa, điều đó có nghĩa là dữ liệu được truyền có thể bị chặn và đọc bởi người. Trường tên người dùng / mật khẩu có thể được nắm bắt và đọc.

https đề cập đến giao tiếp được mã hóa SSL / TLS. Nó phải được giải mã để được đọc. Thông thường / lý tưởng chỉ có các điểm cuối có khả năng mã hóa / giải mã dữ liệu, mặc dù đây là một tuyên bố có cảnh báo ( xem chỉnh sửa bên dưới ).

Do đó, https có thể được coi là an toàn hơn http.

: 80 và: 443 chỉ đề cập đến cổng máy chủ đang sử dụng (nghĩa là "chỉ là một số") và hoàn toàn không có ý nghĩa gì liên quan đến bảo mật.

Tuy nhiên, có một quy ước mạnh mẽ để gửi http qua cổng 80 và https qua cổng 443, điều này làm cho các kết hợp trong câu hỏi nhiều hơn một chút không chính thống. Chúng hoàn toàn có thể sử dụng về mặt kỹ thuật, miễn là các điểm cuối đồng ý và không có đối tượng lọc trung gian.

Vì vậy, để trả lời, http://example.com:443 kém an toàn hơn https://example.com:80 và sự khác biệt là thực tế (mặc dù nó có thể được bù theo một số cách) và không chỉ là lý thuyết.

Bạn có thể dễ dàng kiểm tra tính hợp lệ của các câu lệnh này bằng máy chủ web và máy khách nơi bạn thao tác với cổng máy chủ và trạng thái mã hóa, trong khi chụp và so sánh từng phiên với bộ giải mã giao thức như wireshark.

[ EDIT - hãy cẩn thận về tính bảo mật của đường dẫn máy khách / máy chủ ]

Những gì về cơ bản lên tới một cuộc tấn công trung gian https có thể được thực hiện cho mục đích nghe lén hoặc mạo danh. Nó có thể được thực hiện như một hành động xấu xa, nhân từ hoặc hóa ra ngay cả do sự thiếu hiểu biết, tùy thuộc vào hoàn cảnh.

Vụ tấn công có thể được thực hiện hoặc thông qua khai thác một điểm yếu giao thức như các heartbleed lỗi hoặc lỗ hổng Poodle , hoặc thông qua instantiating một proxy https giữa client và server trong đường dẫn mạng hoặc trực tiếp trên máy khách .

Việc sử dụng độc hại không cần giải thích nhiều, tôi nghĩ vậy. Ví dụ, việc sử dụng nhân từ sẽ là một tổ chức ủy quyền các kết nối https đến cho mục đích ghi nhật ký / id hoặc kết nối https đi để lọc các ứng dụng được phép / bị từ chối . Một ví dụ về việc sử dụng không biết gì sẽ là ví dụ Lenovo Superfish được liên kết ở trên hoặc biến thể Dell gần đây của cùng một lần trượt.

CHỈNH SỬA 2

Đã bao giờ nhận thấy làm thế nào giữ cho những bất ngờ sắp tới? Một vụ bê bối vừa nổ ra ở Thụy Điển, nơi ba tổ chức chăm sóc sức khỏe của hội đồng quận đã sử dụng cùng một chuỗi cung ứng để đăng ký các sự kiện chăm sóc sức khỏe thông qua các cuộc gọi điện thoại của bệnh nhân.

Như vậy, câu hỏi nhờ đó có được câu trả lời trên quy mô lớn của mọi thứ. Nếu chỉ là một trò đùa thực tế và không phải là một sự kiện thực tế ...

Tôi chỉ đơn giản sẽ dán hai đoạn được dịch từ văn bản tin tức trong Máy tính Thụy Điển :

Ngày nay, máy tính Thụy Điển có thể tiết lộ một trong những thảm họa lớn nhất liên quan đến an ninh chăm sóc sức khỏe bệnh nhân và tính toàn vẹn cá nhân. Trên một máy chủ web mở mà không có bất kỳ hình thức bảo vệ mật khẩu hoặc phương pháp bảo mật nào khác, chúng tôi đã tìm thấy 2,7 ​​triệu cuộc gọi được ghi lại từ bệnh nhân đến chăm sóc sức khỏe thông qua số tư vấn y tế 1177. Các cuộc gọi trở lại năm 2013 và chứa 170.000 giờ giọng nói nhạy cảm gọi tập tin mà bất cứ ai cũng có thể tải về và nghe.

[...]

Các cuộc gọi đã được lưu trên máy chủ lưu trữ Thoại tích hợp giọng nói tại địa chỉ IP http://188.92.248.19:443/medicall/ . Cổng Tcp 443 cho biết lưu lượng đã được chuyển qua https, nhưng phiên không được mã hóa.

Tôi không thể quyết định nếu đây là một ví dụ khác về sự thiếu hiểu biết, hoặc nếu chúng ta đang thấy một thể loại hoàn toàn mới. Vui lòng cho lời khuyên.


Ý của bạn là gì khi nói rằng tuyên bố về mã hóa / giải mã dữ liệu có cảnh báo không? Vui lòng giải thích
Oleg

@Cquil Tôi đã chỉnh sửa câu trả lời của mình để phản ánh câu hỏi của bạn.
ErikE

1
Cảm ơn bạn @ErikE. Vài ngày trước tôi nhận thấy rằng hầu hết các trang web https tôi truy cập (ngoại trừ các trang web có EV SSL) được xác minh bởi avast! Web/Mail Shield Root(tôi sử dụng phần mềm chống vi-rút Avast), điều này khiến tôi hơi bối rối. Bây giờ mọi thứ đã rõ ràng, nhờ có bạn
Oleg

1
có thể avast sử dụng certs của riêng họ để giải mã lưu lượng ssl. Tùy thuộc vào thiết lập bảo mật của bạn mà có thể là một vấn đề cho bạn. Xem blog blog.avast.com/tag/man-in-the-middle
Dennis Nolte
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.