httpและhttpsอ้างถึงโปรโตคอลที่ใช้งานอยู่
httpใช้สำหรับการสื่อสารที่ไม่ได้เข้ารหัสลับซึ่งหมายความว่าข้อมูลที่ถูกถ่ายโอนอาจถูกดักจับและอ่านโดยมนุษย์ เช่นฟิลด์ชื่อผู้ใช้ / รหัสผ่านอาจถูกจับและอ่าน
httpsหมายถึงการสื่อสารที่เข้ารหัส SSL / TLS จะต้องถอดรหัสเพื่อให้สามารถอ่านได้ โดยปกติ / เป็นการดีเลิศเฉพาะจุดปลายเท่านั้นที่มีความสามารถในการเข้ารหัส / ถอดรหัสข้อมูลแม้ว่านี่จะเป็นคำสั่งที่มี caveats ( ดูการแก้ไขด้านล่าง )
ดังนั้น https จึงอาจถือว่าปลอดภัยกว่า http
: 80 และ: 443 อ้างอิงถึงพอร์ตเซิร์ฟเวอร์ที่ใช้งานอยู่ (เช่น "เพียงตัวเลข") และไม่มีนัยสำคัญใด ๆ เกี่ยวกับความปลอดภัย
อย่างไรก็ตามมีข้อตกลงที่แข็งแกร่งในการส่ง http ผ่านพอร์ต 80 และ https ผ่านพอร์ต 443 ซึ่งทำให้ชุดค่าผสมในคำถามมีมากกว่าคัมภีร์นอกกฎหมายเล็กน้อย พวกมันใช้งานได้อย่างสมบูรณ์แบบทางเทคนิคตราบใดที่จุดปลายอยู่ในข้อตกลงและไม่มีวัตถุตัวกรองตัวกลาง
ดังนั้นเพื่อตอบhttp://example.com:443มีความปลอดภัยน้อยกว่าhttps://example.com:80และความแตกต่างนั้นใช้งานได้จริง (แม้ว่าจะสามารถชดเชยได้หลายวิธี) และไม่ใช่เชิงทฤษฎีเท่านั้น
คุณสามารถทดสอบความถูกต้องของข้อความเหล่านี้ได้อย่างง่ายดายโดยใช้เว็บเซิร์ฟเวอร์และไคลเอนต์ที่คุณจัดการเซิร์ฟเวอร์พอร์ตและสถานะการเข้ารหัสขณะที่จับภาพและเปรียบเทียบแต่ละเซสชันด้วยตัวถอดรหัสโปรโตคอลเช่น wireshark
[ แก้ไข - ข้อควรระวังเกี่ยวกับความปลอดภัยของเส้นทางไคลเอนต์ / เซิร์ฟเวอร์ ]
สิ่งที่สำคัญสำหรับการจู่โจมแบบคนกลางกลางสามารถทำได้เพื่อวัตถุประสงค์ในการดักฟังหรือการแอบอ้างบุคคลอื่น มันอาจจะทำในลักษณะของความมุ่งร้ายความเมตตากรุณาหรือเป็นที่ปรากฏออกมาเนื่องจากความไม่รู้ขึ้นอยู่กับสถานการณ์
การโจมตีสามารถทำได้ผ่านการใช้ประโยชน์จากจุดอ่อนโปรโตคอลเช่นข้อบกพร่องHeartbleed หรือช่องโหว่ Poodleหรือผ่านพร็อกซี https ทันทีระหว่างไคลเอนต์และเซิร์ฟเวอร์ในเส้นทางเครือข่ายหรือบนไคลเอนต์โดยตรง
ฉันคิดว่าการใช้สิ่งชั่วช้าไม่ต้องการคำอธิบายมากมาย การใช้งานจะเป็นกุศลเช่นองค์กรพร็อกซีที่เข้ามาเชื่อมต่อ https สำหรับวัตถุประสงค์ของการเข้าสู่ระบบ / รหัสหรือเชื่อมต่อขาออก https สำหรับการกรองการใช้งานที่ได้รับอนุญาต / ปฏิเสธ ตัวอย่างของการใช้งานที่ไม่รู้คือตัวอย่าง Lenovo Superfish ที่ลิงก์ด้านบนหรือรูปแบบล่าสุดของ Dell ในรูปแบบเดียวกัน
แก้ไข 2
เคยสังเกตไหมว่าโลกที่ทำให้เซอร์ไพรส์มาถึง? เรื่องอื้อฉาวเพิ่งปะทุขึ้นในสวีเดนซึ่งองค์กรดูแลสุขภาพของสภามณฑลสามแห่งใช้โซ่อุปทานเดียวกันสำหรับการลงทะเบียนกิจกรรมการดูแลสุขภาพผ่านโทรศัพท์ทางโทรศัพท์ของผู้ป่วย
อย่างที่เคยเป็นมาคำถามจึงได้คำตอบในระดับที่ยิ่งใหญ่ ถ้ามันเป็นเรื่องตลกในทางปฏิบัติและไม่ใช่เหตุการณ์จริง ...
ฉันจะวางตัวอย่างสองไฟล์ที่แปลจากข้อความข่าวใน Computer Sweden :
คอมพิวเตอร์วันนี้สวีเดนสามารถเปิดเผยหนึ่งในภัยพิบัติที่ยิ่งใหญ่ที่สุดที่เคยมีมาเกี่ยวกับความปลอดภัยของผู้ป่วยในการดูแลสุขภาพและความซื่อตรง ในเว็บเซิร์ฟเวอร์แบบเปิดที่ไม่มีการป้องกันด้วยรหัสผ่านรูปแบบใด ๆ หรือวิธีการรักษาความปลอดภัยอื่น ๆ เราพบการโทรที่บันทึกจากผู้ป่วยสู่การดูแลสุขภาพ 2,7 ล้านคนผ่านทางหมายเลขที่ปรึกษาทางการแพทย์ 1177 การโทรกลับไปสู่ปี 2013 ไฟล์โทรที่ทุกคนสามารถดาวน์โหลดและฟังได้
[ ... ]
โทรได้รับการบันทึกไว้ในเซิร์ฟเวอร์จัดเก็บข้อมูลแบบบูรณาการด้วยเสียงนอร์ดิกที่อยู่ IP http://188.92.248.19:443/medicall/ Tcp-port 443 บ่งชี้ว่าทราฟฟิกถูกส่งผ่าน https แต่เซสชันไม่ได้เข้ารหัส
ฉันไม่สามารถตัดสินใจได้ว่านี่เป็นอีกตัวอย่างของความไม่รู้หรือหากเราเห็นหมวดหมู่ใหม่ทั้งหมด กรุณาแนะนำ.