HTTPS melalui port 80 dapat terjadi tetapi hanya dalam komunikasi server-ke-server, browser tidak mendukung itu. Keamanan bukan tentang port, ini tentang protokol.
Anatoly
4
@Anatoly browser mendukung HTTPS lebih dari port 80, hanya saja mereka tidak default untuk itu. Port default untuk HTTPS di browser adalah 443, tetapi Anda dapat menimpanya di hampir semua browser. Saya pikir ini yang Anda maksudkan, tetapi saya ingin mengklarifikasi untuk orang lain.
Pengembangan Badai
@HurricaneDevelopment komentar saya pada dasarnya adalah apa yang dikatakan insinyur inti Nginx di forum Nginx pada saat itu, tidak yakin bagaimana hal-hal mungkin telah berubah dari waktu ke waktu.
Anatoly
@Anatoly Fari cukup, cukup menambahkan beberapa info lagi.
Pengembangan Badai
Jawaban:
26
http dan https merujuk pada protokol yang digunakan.
http digunakan untuk komunikasi cleartext tidak terenkripsi, yang berarti data yang ditransfer dapat dicegat dan dibaca secara langsung oleh manusia. Bidang nama pengguna / kata sandi misalnya dapat diambil dan dibaca.
https mengacu pada komunikasi terenkripsi SSL / TLS. Itu harus didekripsi untuk dibaca. Biasanya / idealnya hanya titik akhir yang mampu mengenkripsi / mendekripsi data, meskipun ini adalah pernyataan dengan peringatan ( lihat edit di bawah ).
Karena itu https dapat dianggap lebih aman daripada http.
: 80 dan: 443 merujuk hanya ke port server yang digunakan (yaitu "hanya angka") dan tidak membawa signifikansi sama sekali berkaitan dengan keamanan.
Namun, ada konvensi yang kuat untuk mengirim http over port 80 dan https over port 443, yang membuat kombinasi dalam pertanyaan lebih dari sekadar ortodoks. Mereka secara teknis dapat digunakan dengan sempurna, selama titik akhir sesuai dan tidak ada objek filter perantara.
Jadi untuk menjawab, http://example.com:443 kurang aman daripada https://example.com:80 dan perbedaannya praktis (meskipun dapat diimbangi dalam beberapa cara) dan tidak hanya teoretis.
Anda dapat dengan mudah menguji validitas pernyataan ini menggunakan server web dan klien di mana Anda memanipulasi serverport dan status enkripsi, sambil menangkap dan membandingkan setiap sesi dengan dekoder protokol seperti wireshark.
[ EDIT - peringatan tentang keamanan jalur klien / server ]
Apa yang pada dasarnya sama dengan serangan https man-in-the-middle dapat dilakukan untuk tujuan menguping atau peniruan. Ini dapat dilakukan sebagai tindakan kedengkian, kebajikan atau bahkan karena ketidaktahuan, tergantung pada keadaan.
Penggunaan jahat tidak perlu banyak penjelasan, saya pikir. Penggunaan yang baik akan misalnya organisasi proksi koneksi https masuk untuk keperluan logging / id , atau koneksi https keluar untuk menyaring aplikasi yang diizinkan / ditolak . Contoh penggunaan bodoh adalah contoh Lenovo Superfish yang ditautkan di atas atau variasi Dell terbaru dari slip-up yang sama.
EDIT 2
Pernah memperhatikan bagaimana dunia membuat kejutan datang? Sebuah skandal baru saja meletus di Swedia, di mana tiga organisasi kesehatan dewan kabupaten telah menggunakan rantai pasokan yang sama untuk mendaftarkan acara perawatan kesehatan melalui panggilan telepon pasien.
Seolah-olah, pertanyaan dengan demikian mendapat jawaban pada skala besar hal. Kalau saja itu adalah lelucon praktis dan bukan peristiwa yang sebenarnya ...
”Komputer Swedia hari ini dapat mengungkap salah satu bencana terbesar yang pernah terjadi terkait keamanan pasien kesehatan dan integritas pribadi. Pada server web terbuka tanpa segala bentuk perlindungan kata sandi atau metode keamanan lainnya, kami telah menemukan 2,7 juta panggilan yang direkam dari pasien ke layanan kesehatan melalui nomor penasihat medis 1177. Panggilan kembali ke 2013 dan berisi 170.000 jam suara sensitif memanggil file yang dapat diunduh dan didengarkan siapa saja.
[...]
Panggilan telah disimpan di server penyimpanan Voice Integrated Nordics di alamat ip http://188.92.248.19:443/medicall/ . Tcp-port 443 menunjukkan lalu lintas telah melewati https, tetapi sesi tidak dienkripsi.
Saya tidak bisa memutuskan apakah ini contoh lain dari ketidaktahuan, atau jika kita melihat kategori yang sama sekali baru. Tolong saran.
Apa yang Anda maksud dengan mengatakan bahwa pernyataan tentang mengenkripsi / mendekripsi data memiliki peringatan? Tolong jelaskan
Oleg
@Curious Saya telah mengedit jawaban saya untuk merenungkan pertanyaan Anda.
ErikE
1
@ErikE terima kasih. Beberapa hari yang lalu saya perhatikan bahwa sebagian besar situs https yang saya kunjungi (kecuali situs dengan EV SSL) diverifikasi oleh avast! Web/Mail Shield Root(Saya menggunakan antivirus Avast), yang membuat saya sedikit bingung. Sekarang semuanya jelas, terima kasih
Oleg
1
mungkin avast menggunakan sertifikat mereka sendiri untuk mendekripsi lalu lintas ssl. Tergantung pada pengaturan keamanan Anda yang mungkin menjadi masalah bagi Anda. Lihat fe blog.avast.com/tag/man-in-the-middle
Jawaban:
http dan https merujuk pada protokol yang digunakan.
http digunakan untuk komunikasi cleartext tidak terenkripsi, yang berarti data yang ditransfer dapat dicegat dan dibaca secara langsung oleh manusia. Bidang nama pengguna / kata sandi misalnya dapat diambil dan dibaca.
https mengacu pada komunikasi terenkripsi SSL / TLS. Itu harus didekripsi untuk dibaca. Biasanya / idealnya hanya titik akhir yang mampu mengenkripsi / mendekripsi data, meskipun ini adalah pernyataan dengan peringatan ( lihat edit di bawah ).
Karena itu https dapat dianggap lebih aman daripada http.
: 80 dan: 443 merujuk hanya ke port server yang digunakan (yaitu "hanya angka") dan tidak membawa signifikansi sama sekali berkaitan dengan keamanan.
Namun, ada konvensi yang kuat untuk mengirim http over port 80 dan https over port 443, yang membuat kombinasi dalam pertanyaan lebih dari sekadar ortodoks. Mereka secara teknis dapat digunakan dengan sempurna, selama titik akhir sesuai dan tidak ada objek filter perantara.
Jadi untuk menjawab, http://example.com:443 kurang aman daripada https://example.com:80 dan perbedaannya praktis (meskipun dapat diimbangi dalam beberapa cara) dan tidak hanya teoretis.
Anda dapat dengan mudah menguji validitas pernyataan ini menggunakan server web dan klien di mana Anda memanipulasi serverport dan status enkripsi, sambil menangkap dan membandingkan setiap sesi dengan dekoder protokol seperti wireshark.
[ EDIT - peringatan tentang keamanan jalur klien / server ]
Apa yang pada dasarnya sama dengan serangan https man-in-the-middle dapat dilakukan untuk tujuan menguping atau peniruan. Ini dapat dilakukan sebagai tindakan kedengkian, kebajikan atau bahkan karena ketidaktahuan, tergantung pada keadaan.
Serangan dapat dilakukan baik dengan mengeksploitasi kelemahan protokol seperti bug heartbleed atau kerentanan Poodle , atau melalui instantiating proxy https antara klien dan server di jalur jaringan atau langsung pada klien .
Penggunaan jahat tidak perlu banyak penjelasan, saya pikir. Penggunaan yang baik akan misalnya organisasi proksi koneksi https masuk untuk keperluan logging / id , atau koneksi https keluar untuk menyaring aplikasi yang diizinkan / ditolak . Contoh penggunaan bodoh adalah contoh Lenovo Superfish yang ditautkan di atas atau variasi Dell terbaru dari slip-up yang sama.
EDIT 2
Pernah memperhatikan bagaimana dunia membuat kejutan datang? Sebuah skandal baru saja meletus di Swedia, di mana tiga organisasi kesehatan dewan kabupaten telah menggunakan rantai pasokan yang sama untuk mendaftarkan acara perawatan kesehatan melalui panggilan telepon pasien.
Seolah-olah, pertanyaan dengan demikian mendapat jawaban pada skala besar hal. Kalau saja itu adalah lelucon praktis dan bukan peristiwa yang sebenarnya ...
Saya hanya akan menempelkan dua cuplikan yang diterjemahkan dari teks berita di Computer Sweden :
Saya tidak bisa memutuskan apakah ini contoh lain dari ketidaktahuan, atau jika kita melihat kategori yang sama sekali baru. Tolong saran.
sumber
avast! Web/Mail Shield Root
(Saya menggunakan antivirus Avast), yang membuat saya sedikit bingung. Sekarang semuanya jelas, terima kasih