web-dev-qa-db-fra.com

HTTP sur le port 443 vs HTTPS sur le port 80

Quelle est la différence entre

http://serverfault.com:44 et https://serverfault.com:8

Lequel est le plus sûr en théorie?

25
mohsinulhaq

http et https font référence au protocole utilisé.

http est utilisé pour la communication en clair en clair, ce qui signifie que les données transférées peuvent être interceptées et lues en clair par un humain. Les champs de nom d'utilisateur/mot de passe peuvent par exemple être capturés et lus.

https fait référence à la communication cryptée SSL/TLS. Il doit être décrypté pour être lu. Normalement/idéalement, seuls les points d'extrémité sont capables de crypter/décrypter les données, bien qu'il s'agisse d'une déclaration avec des mises en garde ( voir la modification ci-dessous).

Par conséquent, https peut être considéré comme plus sécurisé que http.

: 80 et: 443 se réfèrent uniquement au port du serveur utilisé (c'est-à-dire qu'il est "juste un numéro") et n'a aucune importance en termes de sécurité.

Cependant, il existe une forte convention pour envoyer http sur le port 80 et https sur le port 443, ce qui rend les combinaisons dans la question plus que peu orthodoxes. Ils sont techniquement parfaitement utilisables cependant, tant que les points de terminaison sont en accord et pas d'objets de filtrage intermédiaires.

Donc, pour répondre, http://example.com:44 est moins sécurisé que https://example.com:8 et la différence est pratique (même si elle peut être compensée de plusieurs façons) et pas seulement théorique.

Vous pouvez facilement tester la validité de ces instructions à l'aide d'un serveur Web et d'un client où vous manipulez le port du serveur et l'état de chiffrement, tout en capturant et en comparant chaque session avec un décodeur de protocole tel que Wireshark.

[ [~ # ~] modifier [~ # ~] mises en garde concernant la sécurité du chemin client/serveur]

Ce qui équivaut essentiellement à une attaque man-in-the-middle https peut être effectué à des fins d'écoute ou d'emprunt d'identité. Cela peut être fait comme un acte de malveillance, de bienveillance ou comme il s'avère même en raison de l'ignorance, selon les circonstances.

L'attaque peut être effectuée soit en exploitant une faiblesse de protocole telle que le heartbleedbug ou la vulnérabilité Poodle , soit en instanciant un proxy https entre le client et serveur dans le chemin résea ou directement sur le client .

Je pense que l'utilisation malveillante n'a pas besoin de beaucoup d'explications. Une utilisation bienveillante serait par exemple une organisation mandatant des connexions https entrantes à des fins de journalisation/ids , ou des connexions https sortantes pour filtrage des applications autorisées/refusées . Un exemple d'utilisation ignorante serait l'exemple de Lenovo Superfish lié ci-dessus ou le variation Dell récente du même dérapage.

EDIT 2

Avez-vous déjà remarqué comment le monde fait que les surprises arrivent? Un scandale vient d'éclater en Suède, où trois organisations de santé des conseils de comté ont utilisé la même chaîne d'approvisionnement pour enregistrer les événements liés aux soins de santé par le biais des appels téléphoniques des patients.

Pour ainsi dire, la question obtient ainsi une réponse à grande échelle. Si seulement c'était une plaisanterie pratique et non un événement réel ...

Je vais simplement coller deux extraits traduits de le texte des actualités dans Computer Sweden :

”Computer Sweden peut aujourd'hui révéler l'une des plus grandes catastrophes jamais enregistrées en matière de sécurité des patients et d'intégrité personnelle. Sur un serveur Web ouvert sans aucune forme de protection par mot de passe ou autre méthode de sécurité, nous avons trouvé 2,7 millions d'appels enregistrés de patients vers les soins de santé via le numéro d'avis médical 1177. Les appels remontent à 2013 et contiennent 170 000 heures de voix sensible appeler des fichiers que n'importe qui pourrait télécharger et écouter.

[...]

Les appels ont été enregistrés sur le serveur de stockage Voice Integrated Nordics à l'adresse IP http://188.92.248.19:443/medicall/ . Le port TCP 443 indique que le trafic a été transmis via https, mais la session n'est pas chiffrée.

Je ne peux pas décider si c'est encore un autre exemple d'ignorance, ou si nous voyons une catégorie entièrement nouvelle. Veuillez conseiller.

30
ErikE