http и https относятся к используемому протоколу.
http используется для незашифрованного обмена открытым текстом, что означает, что переданные данные могут быть перехвачены и прочитаны человеком в открытом виде. Поля имени пользователя / пароля могут, например, быть захвачены и прочитаны.
https относится к зашифрованной связи SSL / TLS. Это должно быть расшифровано, чтобы быть прочитанным. Обычно / в идеале только конечные точки способны шифровать / дешифровать данные, хотя это утверждение с оговорками ( см. Редактирование ниже ).
Поэтому https можно считать более безопасным, чем http.
: 80 и: 443 относятся только к используемому порту сервера (т. Е. Это «просто число») и не имеют никакого значения для безопасности.
Тем не менее, существует строгое соглашение об отправке http через порт 80 и https через порт 443, что делает комбинации в вопросе более чем неортодоксальными. Тем не менее, они технически идеально подходят для использования, если конечные точки согласованы и отсутствуют промежуточные объекты фильтрации.
Поэтому, чтобы ответить, http://example.com:443 менее безопасен, чем https://example.com:80, и разница практична (даже если ее можно компенсировать несколькими способами), а не только теоретическая.
Вы можете легко проверить правильность этих утверждений, используя веб-сервер и клиент, где вы управляете серверным портом и состоянием шифрования, одновременно захватывая и сравнивая каждый сеанс с декодером протокола, таким как wireshark.
[ РЕДАКТИРОВАТЬ - предостережения относительно безопасности пути клиент / сервер ]
То, что по существу равнозначно атаке «человек посередине» по протоколу https, может быть выполнено с целью подслушивания или олицетворения. Это может быть сделано как акт недоброжелательности, доброжелательности или, как выясняется, даже из-за невежества, в зависимости от обстоятельств.
Атака может быть осуществлена либо путем использования слабости протокола, такого как ошибка сердечного кровотечения или уязвимости Poodle , либо путем создания прокси https между клиентом и сервером в сетевом пути или непосредственно на клиенте .
Думаю, злонамеренное использование не требует особых объяснений. Доброжелательным использованием может быть, например, организация, передающая входящие соединения https для регистрации / идентификаторов , или исходящие соединения https для фильтрации разрешенных / запрещенных приложений . Примером невежественного использования может служить приведенный выше пример Lenovo Superfish или недавний вариант Dell с той же ошибкой.
РЕДАКТИРОВАТЬ 2
Вы когда-нибудь замечали, как мир держит сюрпризы? Скандал только что разразился в Швеции, где три организации здравоохранения районных советов использовали одну и ту же цепочку поставок для регистрации медицинских мероприятий посредством телефонных звонков пациентов.
Как бы то ни было, вопрос, таким образом, получает ответ в широком масштабе вещей. Если бы это была практическая шутка, а не реальное событие ...
Я просто вставлю два фрагмента, переведенных из текста новостей в Computer Sweden :
«Компьютер Швеция» сегодня может выявить одно из величайших бедствий, когда-либо существовавших в отношении безопасности пациентов и личной неприкосновенности На открытом веб-сервере без какой-либо формы защиты паролем или другого метода безопасности мы нашли 2,7 миллиона записанных звонков от пациентов в медицинское учреждение через медицинский консультативный номер 1177. Звонки восходят к 2013 году и содержат 170 000 часов чувствительного голоса. вызывать файлы, которые любой желающий мог скачать и прослушать.
[...]
Вызовы были сохранены на сервере хранения Voice Integrated Nordics по IP-адресу http://188.92.248.19:443/medicall/ . Tcp-порт 443 указывает, что трафик был передан по https, но сеанс не зашифрован.
Я не могу решить, является ли это еще одним примером невежества, или мы видим совершенно новую категорию. Пожалуйста посоветуй.