포트 443을 통한 HTTP 및 포트 80을 통한 HTTPS

21

차이점은 무엇입니까

http://serverfault.com:443/server/:80

이론적으로 더 안전한 것은 무엇입니까?

ssl  http  https 
mohsinulhaq
소스
3
포트 80을 통한 HTTPS가 발생할 수 있지만 서버 간 통신 내에서만 브라우저가 지원하지 않습니다. 보안은 포트에 관한 것이 아니라 프로토콜에 관한 것입니다.
아나톨리
4
@Anatoly 브라우저는 포트 80을 통한 HTTPS를 지원합니다. 기본 포트가 아닌 것입니다. 브라우저에서 HTTPS의 기본 포트는 443이지만 사실상 모든 브라우저에서이를 무시할 수 있습니다. 나는 이것이 당신이 의미하는 것이라고 생각하지만, 다른 사람을 위해 명확히하고 싶었습니다.
허리케인 개발
@HurricaneDevelopment 나의 의견은 본질적으로 Nginx 핵심 엔지니어들이 당시 Nginx 포럼에서 말한 내용이지만 시간이 지남에 따라 어떻게 변화했는지 확실하지 않습니다.
Anatoly
@Anatoly Fari, 더 많은 정보를 추가하십시오.
허리케인 개발

답변:

26

httphttps 는 사용중인 프로토콜을 나타냅니다.

http 는 암호화되지 않은 일반 텍스트 통신에 사용되므로 전송 된 데이터를 사람이 가로 채서 읽을 수 있습니다. 사용자 이름 / 암호 필드는 예를 들어 캡처 및 읽을 수 있습니다.

https 는 SSL / TLS 암호화 통신을 나타냅니다. 읽으려면 암호를 해독해야합니다. 일반적으로 / 이상적으로 엔드 포인트 만 데이터를 암호화 / 암호 해독 할 수 있지만주의해야 할 내용이 있습니다 ( 아래 편집 참조 ).

따라서 https는 http보다 안전하다고 간주 될 수 있습니다.

: 80 및 : 443은 사용중인 서버 포트 (예 : "숫자") 만 나타내며 보안과 관련하여 전혀 중요하지 않습니다.

그러나 포트 80을 통해 http와 포트 443을 통해 https를 보내는 강력한 규칙이 있습니다. 이는 문제의 조합을 정통보다 조금 더 정교하게 만듭니다. 그러나 엔드 포인트가 일치하고 중개 필터 오브젝트가없는 한 기술적으로 완벽하게 사용할 수 있습니다.

따라서 대답하기 위해 http://example.com:443https://example.com:80 보다 안전 하지 않으며 이론적으로뿐만 아니라 여러 가지 방법으로 오프셋 될 수 있지만 그 차이는 실용적입니다.

각 세션을 캡처하고 wireshark와 같은 프로토콜 디코더와 비교하는 동안 서버 포트 및 암호화 상태를 조작하는 웹 서버 및 클라이언트를 사용하여 이러한 명령문의 유효성을 쉽게 테스트 할 수 있습니다.

[ 편집 -클라이언트 / 서버 경로의 보안에 관한 경고 ]

도청이나 명의 도용을 위해 본질적으로 https-in-the-middle 공격에 해당하는 것은 수행 될 수 있습니다. 그것은 상황에 따라 악의, 자비의 행동으로, 또는 무지 때문에 밝혀 질 수도 있습니다.

공격은 heartbleed bug 또는 Poodle 취약점 과 같은 프로토콜 취약점을 악용 하거나 네트워크 와 클라이언트 경로에서 클라이언트와 서버간에 또는 클라이언트에서 직접 https 프록시를 인스턴스화하여 수행 할 수 있습니다 .

악의적 인 사용에는 많은 설명이 필요하지 않습니다. 예를 들어 로깅 / ID 를 목적으로 들어오는 https 연결을 프록 싱 하거나 허용 / 거부 된 응용 프로그램필터링 하기위한 나가는 https 연결을 프록시로 사용하는 조직이 유용 합니다 . 무식하게 사용하는 예는 위에 링크 된 Lenovo Superfish 예 또는 동일한 슬립 업 의 최신 Dell 변형 입니다.

편집 2

세상이 어떻게 놀라움을 계속 느끼는지 알아 본 적이 있습니까? 스웨덴에서는 3 개의 카운티 의회 의료 기관이 환자 전화를 통해 의료 이벤트를 등록하기 위해 동일한 공급망을 사용하는 스캔들이 발생했습니다.

그와 같이, 질문은 거대한 것들에 대한 답을 얻습니다. 실제 사건이 아닌 실제 농담이라면 ...

Computer Sweden의 뉴스 텍스트에서 번역 된 두 개의 스 니펫을 붙여 넣기 만하면됩니다 .

”Computer Sweden은 오늘날 건강 관리 환자 보안 및 개인 무결성과 관련하여 가장 큰 재난 중 하나를 밝혀 낼 수 있습니다. 비밀번호 보호 또는 기타 보안 방법이없는 공개 웹 서버에서 의료 자문 번호 1177을 통해 환자로부터 의료 서비스로 2,7 백만 건의 녹음 된 통화를 발견했습니다.이 통화는 2013 년으로 돌아가 170.000 시간의 민감한 음성을 포함합니다. 누구나 다운로드하여들을 수있는 파일을 호출하십시오.

[...]

통화는 IP 주소 http://188.92.248.19:443/medicall/ 의 Voice Integrated Nordics 스토리지 서버에 저장되었습니다 . Tcp-port 443은 트래픽이 https를 통과했지만 세션이 암호화되지 않았 음을 나타냅니다.

나는 이것이 또 다른 무지의 예인지, 아니면 완전히 새로운 범주를보고 있는지 결정할 수 없다. 조언을 부탁드립니다.

에릭
소스
데이터 암호화 / 암호 해독에 대한 진술에 경고가 있다는 것은 무엇을 의미합니까? 설명하십시오
Oleg
@ 궁금합니다. 귀하의 질문에 반영하기 위해 답변을 편집했습니다.
ErikE
1
@ErikE 감사합니다. 며칠 전, 내가 방문한 대부분의 https 사이트 (EV SSL이있는 사이트 제외)는 avast! Web/Mail Shield Root(Avast 안티 바이러스를 사용함 )에 의해 확인되어 약간 혼란 스러웠습니다. 이제 모든 것은 당신 덕분에 분명하다
올렉
1
avast는 자체 인증서를 사용하여 SSL 트래픽을 해독합니다. 보안 설정에 따라 문제가 될 수 있습니다. fe blog.avast.com/tag/man-in-the-middle
Dennis Nolte
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.