it-swarm.com.de

HTTP über Port 443 vs HTTPS über Port 80

Was ist der Unterschied zwischen

http://serverfault.com:44 und https://serverfault.com:8

Welches ist theoretisch sicherer?

25
mohsinulhaq

http und https beziehen sich auf das verwendete Protokoll.

http wird für die unverschlüsselte Klartextkommunikation verwendet, dh übertragene Daten können von einem Menschen abgefangen und im Klartext gelesen werden. Benutzernamen-/Passwortfelder können beispielsweise erfasst und gelesen werden.

https bezieht sich auf SSL/TLS-verschlüsselte Kommunikation. Es muss entschlüsselt werden, um gelesen zu werden. Normalerweise/idealerweise können nur die Endpunkte die Daten verschlüsseln/entschlüsseln, obwohl dies eine Anweisung mit Einschränkungen ist ( siehe Bearbeitung unten ).

Daher kann https als sicherer als http angesehen werden.

: 80 und: 443 beziehen sich nur auf den verwendeten Server-Port (d. H. Es ist "nur eine Zahl") und haben hinsichtlich der Sicherheit überhaupt keine Bedeutung.

Es gibt jedoch eine strenge Konvention, http über Port 80 und https über Port 443 zu senden, was die Kombinationen in der Frage mehr als ein wenig unorthodox macht. Sie sind jedoch technisch einwandfrei verwendbar, solange die Endpunkte übereinstimmen und keine zwischengeschalteten Filterobjekte vorhanden sind.

Um zu antworten, isthttp://example.com:443weniger sicher alshttps://example.com:80und der Unterschied ist praktisch (obwohl er auf verschiedene Weise ausgeglichen werden kann) und nicht nur theoretisch.

Sie können die Gültigkeit dieser Anweisungen einfach mit einem Webserver und einem Client testen, auf denen Sie den Serverport und den Verschlüsselungsstatus ändern, während Sie jede Sitzung erfassen und mit einem Protokolldecoder wie Wireshark vergleichen.

[ [~ # ~] edit [~ # ~] - Vorbehalte bezüglich der Sicherheit des Client/Server-Pfades ]

Was im Wesentlichen einem https-Man-in-the-Middle-Angriff gleichkommt, kann zum Zwecke des Abhörens oder des Identitätswechsels ausgeführt werden. Es kann je nach den Umständen als ein Akt der Böswilligkeit, des Wohlwollens oder sogar aufgrund von Unwissenheit geschehen.

Der Angriff kann entweder durch Ausnutzen einer Protokollschwäche wie des Heartbleed-Fehlers oder der Pudel-Schwachstelle erfolgen. oder durch Instanziieren eines https-Proxys zwischen Client und Server im Netzwerkpfad oder direkt auf dem Client .

Böswilliger Gebrauch braucht nicht viel Erklärung, denke ich. Eine wohlwollende Verwendung wäre beispielsweise eine Organisation, die eingehende https-Verbindungen zum Zwecke der Protokollierung/IDs oder ausgehende https-Verbindungen zum Filtern zulässiger/verweigerter Anwendungen weiterleitet. Ein Beispiel für eine ignorante Verwendung wäre das oben verlinkte Lenovo Superfish-Beispiel oder die aktuelle Dell-Variante desselben Ausrutschers.

EDIT 2

Haben Sie jemals bemerkt, wie die Welt die Überraschungen hält? In Schweden ist gerade ein Skandal ausgebrochen, bei dem drei Gesundheitsorganisationen des Landkreises dieselbe Lieferkette für die Registrierung von Gesundheitsereignissen über Telefonanrufe von Patienten verwendet haben.

Die Frage erhält sozusagen eine Antwort im großen Stil. Wenn es nur ein Scherz wäre und kein wirkliches Ereignis ...

Ich werde einfach zwei Ausschnitte einfügen, die aus dem Nachrichtentext in Computer Sweden übersetzt wurden:

„Computer Schweden kann heute eine der größten Katastrophen in Bezug auf die Sicherheit von Patienten im Gesundheitswesen und die persönliche Integrität aufdecken. Auf einem offenen Webserver ohne jeglichen Passwortschutz oder eine andere Sicherheitsmethode haben wir über die medizinische Beratungsnummer 1177 2,7 Millionen aufgezeichnete Anrufe von Patienten an das Gesundheitswesen gefunden. Die Anrufe gehen auf das Jahr 2013 zurück und enthalten 170.000 Stunden sensible Sprache Rufen Sie Dateien auf, die jeder herunterladen und anhören kann.

[...]

Die Anrufe wurden auf dem Voice Integrated Nordics-Speicherserver unter der IP-Adresse http://188.92.248.19:443/medicall/ gespeichert. Tcp-Port 443 zeigt an, dass der Datenverkehr über https übertragen wurde, die Sitzung jedoch nicht verschlüsselt ist.

Ich kann mich nicht entscheiden, ob dies ein weiteres Beispiel für Unwissenheit ist oder ob wir eine völlig neue Kategorie sehen. Bitte beraten.

30
ErikE