A minha conexão FTP é segura?

3

Primeiro, não tenho certeza de fazer essa pergunta no StackOverflow, pois é para programação, então o SuperUser é o lugar mais apropriado, eu acho.

Meu provedor de hospedagem disse que o recurso de FTP não é seguro (não FTPS nem SFTP) para o pacote de hospedagem que eu comprei (estou usando hospedagem compartilhada).

(Eu realmente não acredito no CS porque a resposta anterior sobre a minha pergunta anterior (sobre laravel em hospedagem compartilhada) foi respondida errado, ela disse que não pode ser feito, mas depois de assistir alguns vídeos eu posso fazer o trabalho. )

Primeiro, acho que é certo couse a URL para se conectar ao FTP é algo como: ftp://ftp.[mywebname].com

Mas quando tentei me conectar via cliente FTP FileZilla, a saída do console é

Status: Resolving address of ftp.xxxxxxx.com
Status: Connecting to xxx.xxx.xxx.xxx:21...
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Connected
Status: Retrieving directory listing...
Status: Directory listing of "/" successful

E aqui está o detalhe do certificado (o ícone também disse que está criptografado) Aqui está a captura de tela:

Além disso, eu tentei conectar via FTP Client Cyberduck, Ele disse que a conexão não é segura e oferece-me a maneira segura até mesmo o certificado que ele disse 'não confiável'. Esta opção também mostra a primeira vez que me conectei via FileZilla.

    
por Altiano Gerung 22.08.2015 / 13:00

2 respostas

2

... via FTP Client Cyberduck, It said that the connection is not secure

O servidor (nome real e certificados ocultos, mas foi mostrado mostra o que aconteceu com o servidor real) usa um certificado autoassinado que também não corresponde ao nome do host:

$ openssl s_client -starttls ftp -connect ftp.example.com:21
...
Certificate chain
 0 s:/CN=server10.example.org/[email protected]
   i:/CN=server10.example.org/[email protected]

Esse tipo de certificado pode ser usado para proteger uma conexão, mas somente se o cliente souber qual certificado esperar de outra maneira, como se o provedor dissesse ao cliente pessoalmente a impressão digital do certificado do servidor e o cliente verificasse a impressão digital quando conectando.

Em todos os outros casos, o uso de tais certificados é inseguro, pois qualquer pessoa pode criar um certificado desse tipo e fazer um ataque man-in-the-middle.

Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established

Parece que "Verificar certificado ..." não está realmente concluído ou o resultado foi descartado ou que você confiou neste certificado antes.

Além disso, o FTPS é inseguro, a menos que você imponha o uso de FTPS. Se você confiar no seu cliente FTP para usar criptografia (ou seja, TLS) quando disponível e continuar sem criptografia, tudo o que um funcionário do meio precisa fazer é rejeitar o comando AUTH TLS , que é usado para criar o túnel TLS. Se, em vez disso, você aplicar o FTPS e verificar o certificado, o FTPS poderá ser usado de maneira segura.

Para mais informações, eu recomendo perguntar melhor em security.stackexchange.com.

    
por 22.08.2015 / 14:14
3

Eu arriscaria dizer que o servidor para o qual você está indo é configurado conforme descrito neste artigo do Wiki do FileZilla.

link

Ele permitirá o ftp over tls se o usuário optar pelo lado do cliente.

Já tentou configurar o seu cliente ftp, no seu caso "cyber duck", para usar tls? Essa página wiki explica como configurar alguns clientes diferentes.

Além disso, no interesse da brevidade, você pode querer pesquisar o seu suporte de hospedagem para: ftp over tls

    
por 22.08.2015 / 13:51