No já nevím.
Nikdy jsem ten boj proti FTP nepochopil.
Úplně stejně, jako potlačení HTTP na úkor HTTPS, je přece možné upřednostnit FTPS na úkor FTP.
https://cs.wikipedia.org/wiki/FTPS
Pak je celý přenos včetně autentizace šifrován, klidně stejným certifikátem, jako pro HTTPS.
FTP je starý protokol... no to je sice pravda, ale starý je třeba i SMTP, budeme ho proto taky rušit?
Sice to funguje a má to podporu úplně všude, ale je to staré, tak to zrušíme a dáme místo toho nějakou novou úžasnou technologii, která sice umí úplně to samé co ta stará, ale má cool nový název a aby to fungovalo, budu si muset nainstalovat X MB sraček.
Jedna věc je omezování nešifrovaného přenosu (schvaluji), druhá sebrat něčemu kompletně podporu jen z nějaké osobní averze. To mě fakt štve. On člověk nikdy neví, kdy se v nouzi bude potřebovat někam přes FTP(S) připojit a zrovna bude mít jako na potvoru k dispozici jen fríkůlinský browser :-(
Aha, o tomhle FTP jsem třeba nevěděl. Víte někdo o dalším?
Uznávám, že při použití klienta může být FTP pro anonymní stahování pohodlnější. Mám zajímavý tip: klient LFTP umí na řádce procházet directory listing v HTTPS stejně jako FTP.
FTP mirroru je podle me stale mnoho, napr. ftp.cvut.cz, ftp.muni.cz, pripadne: https://www.centos.org/download/mirrors/
Různé mirrory softwarových repozitářů jsou běžně přístupné přes FTP, třeba Cygwin při instalaci nabízí výběr z HTTP i FTP serverů s balíčky, mnohé univerzity mají taky veřejný FTP server (jen tak na pár pokusů jsem trefil ftp://ftp.cvut.cz/, ftp://ftp.muni.cz/, spousta dalších jistě bude v zahraničí).
FTP je zkrátka pořád velmi živý a vcelku hojně používaný protokol. Srovnejme to třeba s takovým gopherem, který jsem použil poprvé a naposledy snad v roce 1995, o kterém spousta mladších ajťáků v životě ani neslyšela a který byl z Firefoxu vyhozen v roce 2010, kdy se veřejně dostupné gopher servery nepočítaly už ani na stovky. FTP v tomhle stavu dnes ani vzdáleně není.
>> Víte o nějakém běžně používaném anonymním FTP?
Zkuste si stahnout Adobe Reader 2017 (nikoliv DC) odjinud nez z:
ftp://ftp.adobe.com/pub/adobe/reader/win/Acrobat2017/1700830051/AcroRdr20171700830051_MUI.exe
Skuste napr. ftp.dell.com
Cez toto ftp na anonymnom pripojeni Dell poskytuje updaty a instalacky firmware pre svoje serverove portfolio. Tieto je mozne aktualizovat aj priamo pocas fyzickej instalacie servera este pred samotnym nasadenim OS.
Mimoto v akomkolvek korporate je ovela jednoduchsie povolit cez firewall (prip. ziskat schvalenie povolenia) pre port 21 ako pri porte 22 na sftp.
Když už argumentuješ Wikipedií, tak si přečti, co dokazuješ:
"FTPS, FTP/SSL nebo FTP se SSL/TLS označuje v informatice různá rozšíření protokolu FTP, která zajišťují zabezpečený přenos citlivých informací přes počítačovou síť (přihlašovací jméno, heslo nebo i vlastní přenášená data)."
Kolik těch rozšíření je? Dvě? Pět? Deset? A který z nich mají za svoje peníze implementovat (předpokládejme, že teď tam není), udržovat a testovat? Který a proč reálně potřebuješ ve web browseru?
Varianty FTPS nech file managerům a modulům do FUSE. Web browser nech na stažení a zobrazení/uložení souborů po HTTP(S), to je jeho práce. Ten je v reálu FTP ani FTPS nepotřebuje.
To je nějaká nakažlivá nemoc tady v diskuzích na Rootu, že někteří jedinci musí mít za všech okolností pravdu, i za cenu blábolu?
S FTPS se to má úplně stejně, jako s šifrovaným SMTP. Taky existuje několik implementací, které dělají ve výsledku totéž a nikomu to evidentně nevadí. A ejhle, ony jsou to úplně ty samé, jako u FTPS (SSL, TLS)...
Nicméně o to tady přece vůbec nejde. Jde o to, že výrobci browserů plánují odstranění podpory FTP a argumentují tím, že je to nešifrované (není pravda, existuje FTPS a tudíž by měli tlačit na přechod z FTP na FTPS stejně, jako to bylo u HTTP->HTTPS), případně neexistující (naprostý nesmysl) nebo nešifrovanou (řeší FTPS) autentizací.
Navíc - jak je v článku jasně napsáno - v plánu je kompletní odstranění podpory. Tzn. časem si ani nic nestáhnu.
Proč ale? HTTP taky nechávají, jen varují. Proč tedy u FTP tak tvrdý přístup? Aha, kdyby natvrdo vypnuli HTTP, tak by jim to přestalo nějak celé fungovat. No tak se vyřádíme aspoň na FTP, aby všichni viděli, jací jsme borci, kteří ví nejlépe, co lidi potřebují. Hlavně, že bude fungovat JavaScript (úžasně bezpečný) a Facebook (používají přece HTTPS, tak kde je problém?).
Tak znovu:
- FTP je jiný protokol, než HTTP a HTTPS.
- O FTP se stará nějaký blok kódu, který není k ničemu jinýmu.
- O ten kus kódu se musíš starat a to stojí čas a peníze.
- FTP je bezpečnostní problém.
- Migrace na FTPS by byla jenom proto, aby se zabilo nešifrovaný FTP (= skončilo by tak jako tak) a zlepšila se bezpečnost.
- Překopat to na FTPS znamená upravit to pro několik variant. To znamená investovat do toho další čas vývojářů a tesťáků (a tím i prachy) do každé varianty.
- Investovat do přepsání funkcionality, kterou používá < 1% uživatelů na jinou variantu, která navíc není běžně na serverech, nedává ekonomicky smysl. Kolik uživatelů by ten nově přidaný protokol měl? Ty, co náhodou lezou na server se stejnou verzí FTPS jako browser?
- Když už tak jako tak odpadne klasický FTP a nemá smysl to upgradovat na FTPS, zbývá jediná možnost. Zabít to bez náhrady.
Tak znovu:
- HTTP(S) je jiný protokol, než FTP
- O HTTP(S) se stará nějaký blok kódu, který není k ničemu jinýmu.
- O ten kus kódu se musíš starat a to stojí čas a peníze.
- HTTP je bezpečnostní problém.
- Migrace na HTTPS by byla jenom proto, aby se zabilo nešifrovaný HTTP
- ...
Tedy - tímto směrem bych argumentaci opravdu nevedl...
- Nebe je modré
- Tráva je zelená
- Voda je tekutina a dá se v ní plavat
- FTP je bezpečnostní problém... Jaký přesně? Tisíckrát opakovaná lež se stala pravdou? Celý world wide web je bezpečnostní problém. Webové stránky jsou bezpečnostní problém. Facebook, Youtube, Google... jsou bezpečnostní problém. Myslíte si, že přechodem na HTTPS se to nějak zázračně vyřešilo? Nebo se to vyřeší odstraněním podpory FTP? To, že se kradla hesla k FTP je podle vás problém FTP protokolu? A k webům se snad hesla nekradou? Uložené kreditky se nekradou? Nebylo by teda rozumnější zrušit podporu pro SQL, když z těch databází můžou uniknout (a unikají) citlivá data?
- Ekonomický smysl vývoj browserů jako takových nedává tak jako tak. Peníze se z nich dají získat jen tím, že přitáhnu nové uživatele a ukrojím si svůj podíl z reklamy, nebo prodám jejich osobní data. Vypuštěním podpory nějakého protokolu nové uživatele nezískám, naopak jich čast (byť malou) ztratím. Takže ne, opravdu to nemá nic společného s ekonomickým smyslem, ať už to znamená cokoliv.
- upgradovat na FTPS samozřejmě smysl má. Přínosy použití FTP protokolu jsem popsal v příspěvku níže.
"FTP je bezpečnostní problém... Jaký přesně? Tisíckrát opakovaná lež se stala pravdou?"
[fakt]FTP je nešifrovaný[/fakt]
[fakt]Nešifrovaně se přenáší i přihlášení a další důvěrná komunikace[/fakt]
[fakt]Při MITM může kdokoliv vidět nebo modifikovat komunikaci a zneužít tak to získaný informace včetně loginu na server[/fakt]
[fakt]MITM na FTP dovoluje podstrčit cokoliv[/fakt]
[fakt]Ze stejných důvodů odepsali Telnet[/fakt]
[fakt]Je tak odlišný od HTTP/HTTPS, že musí být v prohlížečích implementovaný a testovaný extra - s rizikem dalších chyb[/fakt]
[fakt]V zabezpečení se riziko bere jako jako nepřijatelný, pokud existuje finančně přijatelný způsob, jak to riziko odstranit - a tady existuje, nepodporovat plaintext[/fakt]
"To, že se kradla hesla k FTP je podle vás problém FTP protokolu? A k webům se snad hesla nekradou? Uložené kreditky se nekradou? Nebylo by teda rozumnější zrušit podporu pro SQL, když z těch databází můžou uniknout (a unikají) citlivá data?"
Kradlo se a krást se bude. Na tom protokol nic nezmění. Konkrétně problém FTP je ten, že nic nedělá pro to, aby těm krádežím zabránil. Problém je, že zákazníci jsou zvyklí mít vchodový dveře z papundeklu bez klíče a když se stavební firma šprajcla, že odteď budou v ceně bytu zabezpečený vchodový dveře s cylindrickou vložkou, tak jsou lidi ještě naštvaní.
"Ekonomický smysl vývoj browserů jako takových nedává tak jako tak. Peníze se z nich dají získat jen tím, že přitáhnu nové uživatele a ukrojím si svůj podíl z reklamy, nebo prodám jejich osobní data. Vypuštěním podpory nějakého protokolu nové uživatele nezískám, naopak jich čast (byť malou) ztratím. Takže ne, opravdu to nemá nic společného s ekonomickým smyslem, ať už to znamená cokoliv."
Dejme tomu, že máš z uživatele 1$/měsíc. Mám 1M uživatelů. mám $1M/m
Vyhodím featuru, kterou používá 1% lidí. Polovina z nich se přeorientuje jinak (místo "stáhnout pomocí FTP" klikne na "stáhnout po HTTP"). Vypadne 5000 lidí a $5k/m
O featuru se stará nějaký člověk, kterýho musím platit, topit mu, svítit mu, a náklady na udržování té featury jsou $7k/m
Featuru zaříznu, chlapa převedu na jinou práci a jsem furt $2k v plusu.
"upgradovat na FTPS samozřejmě smysl má. Přínosy použití FTP protokolu jsem popsal v příspěvku níže"
Sorry, ale třeba práva k souborům bych na webu zrovna neřešil. Na straně serveru to smrdí nechtěnou eskalací práv (a to asi nechceš), na straně klienta taky (a to zase nechce návštěvník webu). Takovýhle výhody jsou poněkud sporný. Zbytek je použitelný snad jenom IPSEC tunelem.
Proboha. Srovnávat telnet a FTP...
Rada: nedělejte ze sebe vola a nemluvte o tom, čemu evidentně nerozumíte. Proti MITM vám nepomůže naprosto nic. Ani šifrování. Techniku MITM dneska používá např. každý antivirus. A zdá se vám, že by měly nějaký problém kontrolovat (tedy i možnost ovlivňovat) zašifrovanou komunikaci?
Končím debatu. Nemá to cenu.
Stejně tak pravděpodobně z vašeho počítače nikdo neukradne uložená hesla k FTP serverům.
Přece Petře dobře víte, co mám na mysli (*).
Pořád se dokola omílá nebezpečí používání FTP, ale v samotném protokolu přece není žádný problém.
Je úplně jedno, jestli mi někdo ukradne hesla k FTP serveru, do nějakého e-shopu nebo k e-mailu.
Nebo jestli se někde připojím k veřejné wifi a někdo bude chytat a číst mou komunikaci.
Problém není ani v jednom případě v použitém protokolu.
FTP je rozšířený, jednoduchý, robustní a široce podporovaný protokol pro přenos souborů a samozřejmě ho lze šifrovat. To vím já, víte to vy a ví to i ti tvůrci prohlížečů. To, co mi vadí je, že se někdo rozhodl, že se podpora pro FTP zruší, s odůvodněním, že "je to nebezpečné" a "nikdo to nepoužívá". Obojí není pravda. Bezpečné to může být stejně, jako vše, jde o přístup správce serveru a o přístup uživatele (tady spíše obecný, ne jen ve vztahu k FTP). Naopak, je to lety prověřený protokol. Stačí si přečíst, jaké neuvěřitelné průsery se objevují např. v GITu, který někteří chtějí prosazovat právě na úkor FTP. A uživatelů je v browserech málo, protože z funkcionality běžného FTP klienta je v nich implementováno asi tak 10%. Donutit webmastery, kteří v určitých situacích odkazují na FTP zcela úmyslně a logicky k tomu, aby svá data dali všanc na nejděravější platformě na světě, kterou je WWW, je prostě krok mimo, ať se na to budeme dívat z jaké strany chceme.
Běžný Franta si do svého počítače nainstaluje cokoliv, jen aby měl nové smajlíky nebo jiné téma pro prohlížeč a s tím si klidně může přidat důvěryhodnou certifikační autoritu, jako ty AV. O telefonech nemluvě, tam je stav ještě horší.
Vždy to bude jen o přístupu uživatelů k bezpečnosti a žádné technické řešení ani restriktivní přístup tvůrců software to nemůže vyřešit. Tím se jen zkomplikuje práce určité skupině lidí, kteří ve většině případů mají o bezpečnosti nějakou představu.
Souhlasím s tlakem začít používat šifrování, jako to bylo u HTTP. Nesouhlasím s bohorovným přístupem stylu "Seznali jsme, že je to nebezpečné a proto to vymažeme ze světa".
(*) Pokud budete sedět u počítače s Windows zařazenými do domény a zaměstnavatel (nebo útočník, nebo nasraný admin) se rozhodne, nainstaluje vám politikou CA jakou bude chtít. A bude si vesele číst, co se mu zamane. Nepamatuji si teď přesně, jestli to byl Juniper, F5 nebo Cisco, ale měl jsem před pár lety na stole jejich krabici, která přesně tohle umožňovala, stačilo ji zapojit na správné místo do síťové infrastruktury. Takže ano, váš osobně spravovaný Linux je (podle aktuálně známých informací) proti MITM v bezpečí. Ale takových počítačů je ve srovnání s těmi ostatnémi ve světě minimum, ať se nám to líbí nebo ne.
@TKL
"Stejně tak pravděpodobně z vašeho počítače nikdo neukradne uložená hesla k FTP serverům."
V počítači jsou v bezpečí, pokud je nepoužiješ. Jak se připojuješ na FTP, zveřejníš je sám(*)
"Pořád se dokola omílá nebezpečí používání FTP, ale v samotném protokolu přece není žádný problém."
Kromě toho, že umožňuje odposlechnout přihlášení a zopakovat ho útočníkovi, přenos dat je transparentní a odklonění je triviální prkotina nehodná středně pokročilýho script kiddie. Ale to jsou detaily, který nikoho nezajímají, že...
"Je úplně jedno, jestli mi někdo ukradne hesla k FTP serveru, do nějakého e-shopu nebo k e-mailu."
Možná tobě. v E-shopu uvidí maximálně historii objednávek, s mailem dostane možnost na sebe přesměrovat jiný služby, kde jsem se pomocí něho registroval (= krádež identity).
"Problém není ani v jednom případě v použitém protokolu."
Protokol je bezpečný, pokud odolá prolomení hrubou silou po dobu, kterou nechci údaje vyzradit. U Telnetu, FTP a HTTP je garance neprolomení 0s. Například u paywallu zadávám číslo karty, platnost karty je 5 let. Takže vyhoví protokol, který nelouskneš s dostupnou výpočetní kapacitou do 10 let (ať je rerzerva). Za 10 let ať si někdo klidě zkusí nakoupit na kartu, která je pět let neplatná.
"FTP je rozšířený, jednoduchý, robustní a široce podporovaný protokol pro přenos souborů a samozřejmě ho lze šifrovat. To vím já, víte to vy a ví to i ti tvůrci prohlížečů"
Jenomže na rozdíl od tebe ostatní ví, že šifrování je rozšíření, který musí stejně implementovat klient i server. A těch implementací je hodně a málo kdo používá aspoň některou z nich. Navíc v implementaci toho rozšíření se dá udělat plno chyb (výměna klíčů a pod.). Když musíš přidat ještě jednu vrstvu protokolu v několika variantách, jednoduchost a robustnost je ta tam.
Jediná možnost, jak ho spolehlivě šifrovat bez omezení jednoduchosti a robustnosti, je prohnat ho skrz IPSec tunel.
"To, co mi vadí je, že se někdo rozhodl, že se podpora pro FTP zruší, s odůvodněním, že "je to nebezpečné" a "nikdo to nepoužívá". Obojí není pravda."
Bezpečnost jsme, myslím, probrali. Věnujme se argumentu, že to "nikdo nepoužívá". V článku je statistika z telemetrie od Googlu. Takže nějaký číslo, který tvrdí opak. Máš nějakou statistiku nebo relevantní argument, potvrzující opak?
"Bezpečné to může být stejně, jako vše, jde o přístup správce serveru a o přístup uživatele (tady spíše obecný, ne jen ve vztahu k FTP)."
Přesně tak. Rozumný správce serveru nenasadí nic, co neoprávněné osobě nedovolí neautorizovaný přístup do systému. Přihlašování protokolem, který předává username a password v plaintextu, nemá další faktor ověření, dovoluje přepsat na serveru soubory a měnit jejich práva, nechme nezodpovědným hlupákům, co si na správce jenom hrají.
"Stačí si přečíst, jaké neuvěřitelné průsery se objevují např. v GITu, který někteří chtějí prosazovat právě na úkor FTP."
Průšvih může být se vším. Poslední průšvih, o kterám ohledně GITu vím, byla dostupnost adresáře .git v adresářích webu a pak párkrát nějaký vůl hodil privátní klíče do repozitáře. První případ je ekvivalent toho, když po FTP dovolíš stahování souborů, ke kterým nemá mít návštěvním přístup (PHP skripty,...), druhý odpovídá situaci, kdy hodíš privátní klíč hned vede index.html se stejnýma právama. Takže chyba mezi židlí a klávesnicí.
Pokud víš o problému s implementací, davaj link.
"A uživatelů je v browserech málo, protože z funkcionality běžného FTP klienta je v nich implementováno asi tak 10%. Donutit webmastery, kteří v určitých situacích odkazují na FTP zcela úmyslně a logicky k tomu, aby svá data dali všanc na nejděravější platformě na světě, kterou je WWW, je prostě krok mimo, ať se na to budeme dívat z jaké strany chceme."
Ok, mějme doménu podepsanou DNSSEC (v případě .cz ECDSAP256SHA256 nebo ECDSAP384SHA384). Ty se zeptáš na TLD, ověříš proti built-in podpisu odpověď na .cz resolver. Ten ti dá odpověď na L2 a podepíše ji. ty si podpis ověříš a zkontroluješ klíč serveru, na který se připojuješ. Připojíš se pomocí https se silným šifrováním a kontroluješ integritu dat.
Zkus tomu konkurovat s infrastrukturou, kde si můžeš udělat server s tím, že heslo ignoruješ, přesměrovat si na něho oběť někam cestou a dát jí pozměněný data. Nebo si poslechnout data. Nebo si poslechnout přihlášení a změnit ty data.
"Běžný Franta si do svého počítače nainstaluje cokoliv, jen aby měl nové smajlíky nebo jiné téma pro prohlížeč a s tím si klidně může přidat důvěryhodnou certifikační autoritu, jako ty AV. O telefonech nemluvě, tam je stav ještě horší."
Instalace takové autority je možná v případě, že se útočníkovi povede dostat tu instalačku do zařízení. To jde kompromitováním serveru (třeba tím, že odposlechne přihlášení admina po FTP), pozmění data během stahování (FTP, HTTP), nebo sociální inženýrství.
"Vždy to bude jen o přístupu uživatelů k bezpečnosti a žádné technické řešení ani restriktivní přístup tvůrců software to nemůže vyřešit. Tím se jen zkomplikuje práce určité skupině lidí, kteří ve většině případů mají o bezpečnosti nějakou představu."
To je sice pravda, ale proč to lumpům nezkomplikovat? Proč nechávat otevřeno, když můžu zavřít a donutit je vzít za kliku a nechat tam otisky prstů? Nebo rovnou nezamknout? Tím je minimálně zdržíš, většinu odradíš. Přece příležitost dělá zloděje.
"Nesouhlasím s bohorovným přístupem stylu "Seznali jsme, že je to nebezpečné a proto to vymažeme ze světa"."
Oni ale nemažou FTP ze světa. Oni to mažou jenom ze svýho produktu a uvedli pro to racionální důvody. Narozdíl od DropBoxu, který omezil filesystémy a neřekl proč.
*) přenosový kanál se z principu v security při analýze bere jako kompromitovaný do doby, než se prokáže opak
MITM má několik vektorů. Někde použije autentizace, jinde autorizace, jinde zase šifrování. A pokud jde o bezpečnost, 100% nedosáhneš nikdy, je vždycky o kompromisu mezi cenou a bezpečností. Že nemůžu mít 100% neznamená, že se nemůžu pokusit aspoň o 80%.
Za vyhovující zabezpečení se považuje stav, kdy šifrovaná zpráva odolá brute force nějakou definovanou dobu. u FTP je doba do prolomení přesně 0. I XORování 1kB blokem náhodnch čísel je na tom s odolností líp.
Víte, když implementace FTP v prohlížečích je cca 20 let za vopicema (šifrování - implicitní i explicitní, včetně volitelného šifrování datového kanálu - podporoval každý trochu slušný FTP klient a server už cca před těmi dvaceti lety), tak nemůžete seriozně argumentovat tím, že to je nebezpečné. To, že se "přestává (zvlášť v prohlížečích) používat" pak přesně odpovídá uživatelskému "komfortu" a kvalitě implementace v těch prohlížečích.
Tak prosímvás argumentujte tím, že "nás to nezajímá, nechceme žádné zabezpečené FTP implementovat a celkově na to úplně kašlem", a nementorujte o bezpečnosti.
Pravda je taková, že ve většině případů je nabízení souborů ke stažení přes FTP mnohem bezpečnější, než přes HTTP(S).
Protože FTP 1) umožňuje velmi jednoduše oddělit data, určená k uploadu nebo ke stažení, od struktury samotného webu, 2) disponuje (alespoň v případě proftpd) velmi pokročilým systémem práv (např. můžu ukládat, ale nemůžu mazat - nebo - můžu vidět obsah ale nemůžu stahovat atd...).
To, že se nyní FTP v browserech používá minimálně, není chybou protokolu, ale špatnou podporou v prohlížečích.
Tudíž namísto odstranění podpory by vývojáři měli napnout síly k jejímu vylepšení.
FTP totiž do browserů jednoznačně patří, protože manipulace se soubory přes FTP, integrovaná do webových stránek, je naprosto logickou a nedílnou součástí webu. Nehledě na mnohem vyšší reálné zabezpečení. Realita je totiž taková, že 99% webhostingů má nastavena práva pro zápis do celé adresářové struktury webu. To, že celý tenhle chaos běží přes HTTPS, situaci opravdu nezachrání.