ポート443上のHTTPとポート80上のHTTPS

違いは何ですか

http://serverfault.com:443および /server/:80

どちらが理論的に安全ですか？

httpおよびhttpsは、使用中のプロトコルを指します。

httpは、暗号化されていないクリアテキスト通信に使用されます。これは、転送されたデータが人間によって傍受され、平文で読み取られる可能性があることを意味します。たとえば、ユーザー名/パスワードフィールドをキャプチャして読み取ることができます。

httpsは、SSL / TLS暗号化通信を指します。読み取るには解読する必要があります。通常/理想的には、エンドポイントのみがデータを暗号化/復号化できますが、これは警告付きのステートメントです（以下の編集を参照）。

したがって、httpsはhttpよりも安全であると見なされる場合があります。

：80および：443は、使用中のサーバーポートのみを参照し（つまり、「単なる数字」である）、セキュリティに関してまったく意味を持ちません。

ただし、httpをポート80で送信し、httpsをポート443で送信するという強力な規則があります。これにより、問題の組み合わせが少し正統ではなくなります。ただし、エンドポイントが一致し、中間フィルターオブジェクトがない限り、技術的に完全に使用できます。

そのため、http：//example.com：443はhttps://example.com:80よりも安全性が低く、その差は実用的であり（多くの方法で相殺できますが）、単なる理論的なものではありません。

サーバーポートと暗号化ステータスを操作するWebサーバーとクライアントを使用して、これらのステートメントの有効性を簡単にテストできます。各セッションをキャプチャし、wiresharkなどのプロトコルデコーダーと比較します。

[ 編集 -クライアント/サーバーパスのセキュリティに関する警告 ]

本質的にhttpsの中間者攻撃に相当するものは、盗聴やなりすましの目的で実行できます。状況に応じて、悪意、慈悲の行為として、または無知であっても判明することがあります。

攻撃は、ハートブリード バグやPoodle脆弱性などのプロトコルの弱点を悪用するか、クライアントとサーバー間でネットワークパスまたはクライアント上で直接 httpsプロキシをインスタンス化することで実行できます。

悪意のある使用はあまり説明する必要はないと思います。慈善的な使用は、たとえば、ロギング/ IDの目的で着信https接続をプロキシする組織、または許可/拒否アプリケーションをフィルタリングする発信https接続です。無知な使用の例としては、上記にリンクされているLenovo Superfishの例や、同じスリップアップの最近のDellのバリエーションがあります。

編集2

世界が驚きをもたらし続けることに気付いたことがありますか？スウェーデンでスキャンダルが勃発したばかりで、3つの郡議会の医療機関が、患者の電話を通じてヘルスケアイベントを登録するために同じサプライチェーンを使用しました。

それがあったように、質問はそれによって事物の壮大なスケールで答えを得ます。それが実際の出来事ではなく実用的な冗談だった場合...

Computer Swedenのニューステキストから翻訳された 2つのスニペットを単に貼り付けます。

「コンピュータースウェーデンは、今日、医療患者の安全と個人の完全性に関する史上最大の災害の1つを明らかにすることができます。パスワード保護やその他のセキュリティ手段を備えていないオープンWebサーバーでは、医療勧告番号1177を通じて患者から医療機関への通話が270万件記録されています。通話は2013年に遡り、170.000時間の機密音声誰でもダウンロードして聞くことができるファイルを呼び出します。

[...]

呼び出しは、IPアドレスhttp://188.92.248.19:443/medicall/の Voice Integrated Nordicsストレージサーバーに保存されています。Tcp-port 443は、トラフィックがhttpsで渡されたことを示しますが、セッションは暗号化されません。

これが無知の別の例なのか、まったく新しいカテゴリーを見ているのかを判断することはできません。ご意見をお聞かせください。