http і https посилаються на протокол, що використовується.
http використовується для незашифрованого зв'язку чіткого тексту, що означає, що передані дані можуть перехоплюватися та читатися людиною просто. Наприклад, поля користувача / пароля можуть бути захоплені та прочитані.
https посилається на зашифрований SSL / TLS зв’язок. Його потрібно розшифрувати, щоб прочитати. Зазвичай / в ідеалі лише кінцеві точки здатні шифрувати / розшифровувати дані, хоча це твердження із застереженнями ( див. Редагування нижче ).
Тому https можна вважати більш безпечним, ніж http.
: 80 та: 443 стосуються лише використовуваного порту сервера (тобто це "просто число") і взагалі не має значення щодо безпеки.
Однак існує сильна умова надсилати http через порт 80 та https через порт 443, що робить комбінації у питанні більш ніж трохи неортодоксальними. Вони технічно досконалі, але якщо кінцеві точки узгоджуються і немає посередницьких фільтр-об'єктів.
Отже, щоб відповісти, http://example.com:243 менш безпечний, ніж https://example.com:80, і різниця є практичною (хоча вона може бути компенсована різними способами), а не просто теоретичною.
Ви можете легко перевірити обгрунтованість цих висловлювань за допомогою веб-сервера та клієнта, де ви маніпулюєте портом сервера та статусом шифрування, захоплюючи та порівнюючи кожен сеанс із декодером протоколу, таким як wireshark.
[ EDIT - застереження щодо безпеки шляху клієнт / сервер ]
Що по суті становить атаку https людина-посеред, може бути здійснена для підслуховування чи видання себе. Це може бути зроблено як злочинство, доброзичливість або, як виявляється, навіть через незнання, залежно від обставин.
Атака може бути здійснена або шляхом використання слабкості протоколу, такої як помилка в сердечних умовах, або вразливості пуделя , або через інстанціювання https-проксі між клієнтом і сервером в мережевому шляху або безпосередньо на клієнті .
Думаю, зловмисне використання не потребує особливих пояснень. Доброзичливим буде використання, наприклад, організації, яка здійснює вхід вхідних https-з'єднань для цілей реєстрації / ідентифікації або вихідних https-з'єднань для фільтрації дозволених / заборонених додатків . Прикладом необізнаного використання може бути приклад Lenovo Superfish, згаданий вище, або нещодавній варіант Dell того ж проскоку.
EDIT 2
Ніколи не помічав, як світ тримає сюрпризи? Щойно спалахнув скандал у Швеції, де три організації охорони здоров’я окружної ради використовували один і той же ланцюг поставок для реєстрації заходів охорони здоров’я через телефонні дзвінки пацієнтів.
Як би це питання, таким чином, отримує відповідь у великій кількості речей. Якби це був практичний жарт, а не актуальна подія ...
Я просто вставлю два фрагменти, перекладені з тексту новин у Комп'ютерній Швеції :
”Комп’ютерна Швеція сьогодні може виявити одне з найбільших катастроф, що стосуються безпеки пацієнтів у сфері охорони здоров’я та особистої доброчесності. На відкритому веб-сервері без будь-якої форми захисту пароля чи іншого способу захисту ми знайшли 2,7 мільйона зафіксованих дзвінків від пацієнтів до охорони здоров’я через медичний консультативний номер 1177. Дзвінки відносяться до 2013 року та містять 170 000 годин чутливого голосу файли викликів, які кожен міг завантажити та прослухати.
[...]
Виклики були збережені на сервері зберігання даних Voice Integrated Nordics за ip адресою http://188.92.248.19.4543/medicall/ . Tcp-порт 443 вказує, що трафік передано через https, але сеанс не шифрується.
Я не можу вирішити, чи це ще один приклад необізнаності чи ми спостерігаємо зовсім нову категорію. Будь ласка, порадь.