之间有什么区别
http://serverfault.com:443和 https://serverfault.com:80
理论上哪个更安全?
Eri*_*ikE 32
http和https是指正在使用的协议。
http用于未加密的明文通信,这意味着传输的数据可能会被人类截取和读取。例如,可以捕获和读取用户名/密码字段。
https指的是 SSL/TLS 加密通信。必须解密才能读取。通常/理想情况下,只有端点能够加密/解密数据,尽管这是一个带有警告的声明(请参阅下面的编辑)。
因此 https 可能被认为比 http 更安全。
:80 和 :443 仅指正在使用的服务器端口(即“只是一个数字”),在安全性方面根本没有意义。
但是,通过端口 80 发送 http 和通过端口 443 发送 https 有很强的约定,这使得问题中的组合有点非正统。不过,它们在技术上完全可用,只要端点一致并且没有中间过滤器对象。
因此,要回答,http://example.com :443 不如https://example.com:80安全,并且差异是实际的(即使可以通过多种方式抵消)而不仅仅是理论上的。
您可以使用网络服务器和客户端轻松测试这些语句的有效性,您可以在其中操作服务器端口和加密状态,同时使用协议解码器(例如wireshark)捕获和比较每个会话。
[编辑- 关于客户端/服务器路径安全的警告]
可以出于窃听或冒充的目的执行基本上相当于 https 中间人攻击的攻击。视情况而定,这可能是出于恶意、仁慈或由于无知而导致的行为。
攻击可以通过利用协议弱点(例如Heartbleed 错误或Poodle 漏洞)来完成,也可以通过在网络路径中或直接在客户端上实例化客户端和服务器之间的 https 代理来完成。
我认为恶意使用不需要太多解释。善意的用途是例如组织代理传入 https 连接以进行记录/id或传出 https 连接以过滤允许/拒绝的应用程序。无知使用的一个例子是上面链接的联想 Superfish 示例或最近相同失误的戴尔变体。
编辑 2
有没有注意到世界是如何让惊喜不断出现的?瑞典刚刚爆发了一场丑闻,三个县议会医疗机构使用相同的供应链通过患者电话注册医疗保健事件。
可以说,这个问题因此在事物的大尺度上得到了答案。如果只是一个恶作剧而不是实际事件......
我将简单地粘贴从瑞典计算机中的新闻文本翻译过来的两个片段:
“今天,瑞典计算机可以揭示有关医疗保健患者安全和个人诚信的有史以来最大的灾难之一。在没有任何形式的密码保护或其他安全方法的开放式网络服务器上,我们发现了 270 万个患者通过医疗咨询号码 1177 拨打医疗保健部门的电话录音。这些电话可以追溯到 2013 年,其中包含 170,000 小时的敏感语音调用任何人都可以下载和收听的文件。
[...]
呼叫已保存在 IP 地址http://188.92.248.19:443/medicall/ 的Voice Integrated Nordics 存储服务器上。Tcp 端口 443 表示流量已通过 https 传递,但会话未加密。
我无法确定这是否是另一个无知的例子,或者我们是否看到了一个全新的类别。请指教。
| 归档时间: |
|
| 查看次数: |
91851 次 |
| 最近记录: |