FTPセキュリティリスクとより安全な代替案

キーポイント：

FilezillaなどのFTPプログラムはパスワードを非表示にする場合がありますが、資格情報が保存されている場合、構(gòu)成ファイルから簡単にアクセスでき、セキュリティが危険にさらされます。
FTP自體にはセキュリティがなく、簡単に傍受され亂用される平易なテキストでデータと資格情報を送信します。
• FTPやSFTPなどのセキュリティの代替品は、伝送中にデータを暗號化し、従來のFTPよりも高いレベルのセキュリティを提供します。
• SSHキーに機(jī)密情報を送信せずに認(rèn)証し、傍受を効果的に防止することで認(rèn)証することにより、セキュリティを強(qiáng)化します。
• ツールの継続的な配信とSFTPやFTPなどの安全なFTPプロトコルは、手動ファイル転送中の人的エラーのリスクを軽減できます。
FTPを使用してファイルを展開または転送しますか？プロトコルの昔からの性質(zhì)と多くのホスティング會社の間でその広範(fàn)な人気を考えると、あなたはそれを使用しているかもしれないと言えます。

しかし、これはあなたとあなたのビジネスにセキュリティの問題を引き起こす可能性があることを知っていますか？この狀況に深く飛び込みましょう。

、 cyberduck、送信またはキャプテンftpなどなどのプログラムは安全です。他の人が視聴を防ぐために、パスワードを隠すなどの測定値を?qū)g裝する場合があります。ただし、FTPを使用してデータを転送する場合、これらの測定値は実際に弱くなります。 私がこれを書いた理由は8月のSitePointでの興味深い議論だったと率直に言った。議論は主にFilezillaに焦點(diǎn)を當(dāng)て、それがどれほど安全でない（またはそうでないか）について一連の主張をしました。

議論の重要な側(cè)面は、パスワードをFilezillaに保存する必要があるかどうかに焦點(diǎn)を當(dāng)てています。コメントの1つは、ソフトウェアを使用するときに資格情報が隠されているが、保存すると簡単に取得できることを示す説明的な記事にリンクしています。

この記事を読んでいない場合、Filezillaは次のように接続の詳細(xì)を簡単なXMLファイルに保存します。

接続に関する多くの情報を保存しているので、覚えておく必要はありません。ただし、パスワードをPlantextに保存していることに注意してください。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><filezilla3></filezilla3>
    <servers></servers>
        <server></server>
            <host>localhost</host>
            <port>21</port>
            <protocol>0</protocol>
            <type>0</type>
            <user>anonymous</user>
            <pass>user</pass>
            <logontype>1</logontype>
            <timezoneoffset>0</timezoneoffset>
            <pasvmode>MODE_DEFAULT</pasvmode>
            <maximummultipleconnections>0</maximummultipleconnections>
            <encodingtype>Auto</encodingtype>
            <bypassproxy>0</bypassproxy>
            <name>test site</name>
            <comments> </comments>
            <localdir> </localdir>
            <remotedir> </remotedir>
            <syncbrowsing>0</syncbrowsing>test site
        >
    >
>

ただし、コンピューターにアクセスできる場合は、コンピューターからパスワードを抽出することは意味がありません。公平を期すために、Filezillaの最新バージョンでは、パスワードストレージはデフォルトでは許可されていません。

ご覧のとおり、資格情報を暗號化するには、どこかに保存する必要がある暗號化キーが必要です。ユーザーアカウントでマルウェアを?qū)g行している場合、彼らはあなた（または同じレベルで実行されている他のアプリケーション）と同じくらい多くあります。これは、暗號化キーまたは暗號化キーなどを暗號化するキーなどにもアクセスできることを意味します。

上記の主張は、1PasswordやKeepAssxなどのプログラムの設(shè)計上の考慮事項を完全には理解していないと考えています。パスワードやその他の安全な情報の安全な金庫として特別に設(shè)計されたアプリケーションは、この答えが示唆するほど簡単にクラックすることはできません。

したがって、特にこれらの利用可能なすべての技術(shù)を考えると、安全な暗號化されたボールトを使用することは実際にはそれほど安全ではないと推測するのは間違っています。

はFTPであり、アプリケーションではありません！

この情報を長い間.iniと構(gòu)成ファイルに保存することが一般的な慣行であることを考えると、WordPress、Joomlaなどのかなりの量の容易なロードソフトウェアがこれで開発されることをお勧めします。方法。

FTPはセキュリティのために設(shè)計されていません。このデザインには、本質(zhì)的にセキュリティを考慮に入れない一連のさらなる仮定が含まれています。 ZendのシニアソフトウェアエンジニアであるEnrico Zimuelは、さらにはFTPを使用しないでください。

はい、セキュリティの変更は後で出てきましたが、組み込みではなく添付されていました。ブルートフォースの攻撃に対する保護(hù)はありません。SSHトンネリングは可能ですが、コマンドとデータチャネルを暗號化する必要があるため困難です。したがって、あなたの選択は限られています。難易度係數(shù)は、それらを?qū)g裝しようとするときに必ずしも些細(xì)なものではありません。

あなたはウェブサイト管理者ですか？ FTPユーザーのChroot Jailを有効にしましたか？ Chrootという用語に慣れていない場合は、ユーザーの動きとアクセスを制限する方法です。ログインするディレクトリから始めて、任意のサブディレクトリに移動できますが、そのディレクトリの外側(cè)に移動することはできません。

ftp

私はあなたにすべてがひどいことを納得させる前に、そうではありません。今日のFTPプログラムの一部、特に上記のプログラムは、より安全なFTP派生物と代替案もサポートしています。それらを見てみましょう。

ftpsおよびsftp

FTPSは安全なFTPです。HTTPSが安全なHTTPと同様に、SSL（セキュアソケット層）とTLS（輸送層セキュリティ）の上で実行されます。ユーザーの資格とデータは、最初に暗號化されてから送信されます。

サーバーが許可している場合、クライアントソフトウェアは、すべてではなく通信の一部のみを暗號化する柔軟性もあります?，F(xiàn)在の議論に基づいて、これは直感に反するようです。

ただし、FTPに切り替えるには価格（および価格）があります。 FTPを使用するには、自己署名のSSL証明書を生成するか、信頼できる証明書當(dāng)局から証明書を購入する必要があります。したがって、より良いセキュリティが利用可能ですが、より多くの労力とコストが必要です。

しかし、あなたが戻ってくる前に、あなたの情報はあなたのビジネスにいくら価値があるかを自問してください。これはあなたがそれに固執(zhí)するように説得するかもしれません。

今すぐSFTPを見てみましょう。 SFTPまたはSSHファイル転送プロトコルは、FTPSとは異なる方法で機(jī)能します。 SFTPはSSH 2.0の拡張として設(shè)計されており、通常のFTP接続を作成しますが、すでに暗號化された接続で実行されます。 FTPデータストリーム自體は通常のFTPよりも安全ではありませんが、実行する接続はより安全です。

SSH、SCPおよびその他のログインシェル

FTPをあきらめたい場合、なぜ途中で放棄する措置を講じるのですか？なぜFTPを使用するのですか？ SFTPがインストールされている場合、SSHツールがインストールされています。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><filezilla3></filezilla3>
    <servers></servers>
        <server></server>
            <host>localhost</host>
            <port>21</port>
            <protocol>0</protocol>
            <type>0</type>
            <user>anonymous</user>
            <pass>user</pass>
            <logontype>1</logontype>
            <timezoneoffset>0</timezoneoffset>
            <pasvmode>MODE_DEFAULT</pasvmode>
            <maximummultipleconnections>0</maximummultipleconnections>
            <encodingtype>Auto</encodingtype>
            <bypassproxy>0</bypassproxy>
            <name>test site</name>
            <comments> </comments>
            <localdir> </localdir>
            <remotedir> </remotedir>
            <syncbrowsing>0</syncbrowsing>test site
        >
    >
>