FTPセキュリティリスクとより安全な代替案

キーポイント：

FilezillaなどのFTPプログラムはパスワードを非表示にする場(chǎng)合がありますが、資格情報(bào)が保存されている場(chǎng)合、構(gòu)成ファイルから簡(jiǎn)単にアクセスでき、セキュリティが危険にさらされます。
FTP自體にはセキュリティがなく、簡(jiǎn)単に傍受され亂用される平易なテキストでデータと資格情報(bào)を送信します。
• FTPやSFTPなどのセキュリティの代替品は、伝送中にデータを暗號(hào)化し、従來(lái)のFTPよりも高いレベルのセキュリティを提供します。
• SSHキーに機(jī)密情報(bào)を送信せずに認(rèn)証し、傍受を効果的に防止することで認(rèn)証することにより、セキュリティを強(qiáng)化します。
• ツールの継続的な配信とSFTPやFTPなどの安全なFTPプロトコルは、手動(dòng)ファイル転送中の人的エラーのリスクを軽減できます。
FTPを使用してファイルを展開(kāi)または転送しますか？プロトコルの昔からの性質(zhì)と多くのホスティング會(huì)社の間でその広範(fàn)な人気を考えると、あなたはそれを使用しているかもしれないと言えます。

しかし、これはあなたとあなたのビジネスにセキュリティの問(wèn)題を引き起こす可能性があることを知っていますか？この狀況に深く飛び込みましょう。

、 cyberduck、送信またはキャプテンftpなどなどのプログラムは安全です。他の人が視聴を防ぐために、パスワードを隠すなどの測(cè)定値を?qū)g裝する場(chǎng)合があります。ただし、FTPを使用してデータを転送する場(chǎng)合、これらの測(cè)定値は実際に弱くなります。 私がこれを書(shū)いた理由は8月のSitePointでの興味深い議論だったと率直に言った。議論は主にFilezillaに焦點(diǎn)を當(dāng)て、それがどれほど安全でない（またはそうでないか）について一連の主張をしました。

議論の重要な側(cè)面は、パスワードをFilezillaに保存する必要があるかどうかに焦點(diǎn)を當(dāng)てています。コメントの1つは、ソフトウェアを使用するときに資格情報(bào)が隠されているが、保存すると簡(jiǎn)単に取得できることを示す説明的な記事にリンクしています。

この記事を読んでいない場(chǎng)合、Filezillaは次のように接続の詳細(xì)を簡(jiǎn)単なXMLファイルに保存します。

接続に関する多くの情報(bào)を保存しているので、覚えておく必要はありません。ただし、パスワードをPlantextに保存していることに注意してください。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><filezilla3></filezilla3>
    <servers></servers>
        <server></server>
            <host>localhost</host>
            <port>21</port>
            <protocol>0</protocol>
            <type>0</type>
            <user>anonymous</user>
            <pass>user</pass>
            <logontype>1</logontype>
            <timezoneoffset>0</timezoneoffset>
            <pasvmode>MODE_DEFAULT</pasvmode>
            <maximummultipleconnections>0</maximummultipleconnections>
            <encodingtype>Auto</encodingtype>
            <bypassproxy>0</bypassproxy>
            <name>test site</name>
            <comments> </comments>
            <localdir> </localdir>
            <remotedir> </remotedir>
            <syncbrowsing>0</syncbrowsing>test site
        >
    >
>

ただし、コンピューターにアクセスできる場(chǎng)合は、コンピューターからパスワードを抽出することは意味がありません。公平を期すために、Filezillaの最新バージョンでは、パスワードストレージはデフォルトでは許可されていません。

ご覧のとおり、資格情報(bào)を暗號(hào)化するには、どこかに保存する必要がある暗號(hào)化キーが必要です。ユーザーアカウントでマルウェアを?qū)g行している場(chǎng)合、彼らはあなた（または同じレベルで実行されている他のアプリケーション）と同じくらい多くあります。これは、暗號(hào)化キーまたは暗號(hào)化キーなどを暗號(hào)化するキーなどにもアクセスできることを意味します。

上記の主張は、1PasswordやKeepAssxなどのプログラムの設(shè)計(jì)上の考慮事項(xiàng)を完全には理解していないと考えています。パスワードやその他の安全な情報(bào)の安全な金庫(kù)として特別に設(shè)計(jì)されたアプリケーションは、この答えが示唆するほど簡(jiǎn)単にクラックすることはできません。

したがって、特にこれらの利用可能なすべての技術(shù)を考えると、安全な暗號(hào)化されたボールトを使用することは実際にはそれほど安全ではないと推測(cè)するのは間違っています。

はFTPであり、アプリケーションではありません！

この情報(bào)を長(zhǎng)い間.iniと構(gòu)成ファイルに保存することが一般的な慣行であることを考えると、WordPress、Joomlaなどのかなりの量の容易なロードソフトウェアがこれで開(kāi)発されることをお?jiǎng)幛幛筏蓼?。方法?

FTPはセキュリティのために設(shè)計(jì)されていません。このデザインには、本質(zhì)的にセキュリティを考慮に入れない一連のさらなる仮定が含まれています。 ZendのシニアソフトウェアエンジニアであるEnrico Zimuelは、さらにはFTPを使用しないでください。

はい、セキュリティの変更は後で出てきましたが、組み込みではなく添付されていました。ブルートフォースの攻撃に対する保護(hù)はありません。SSHトンネリングは可能ですが、コマンドとデータチャネルを暗號(hào)化する必要があるため困難です。したがって、あなたの選択は限られています。難易度係數(shù)は、それらを?qū)g裝しようとするときに必ずしも些細(xì)なものではありません。

あなたはウェブサイト管理者ですか？ FTPユーザーのChroot Jailを有効にしましたか？ Chrootという用語(yǔ)に慣れていない場(chǎng)合は、ユーザーの動(dòng)きとアクセスを制限する方法です。ログインするディレクトリから始めて、任意のサブディレクトリに移動(dòng)できますが、そのディレクトリの外側(cè)に移動(dòng)することはできません。

ftp

私はあなたにすべてがひどいことを納得させる前に、そうではありません。今日のFTPプログラムの一部、特に上記のプログラムは、より安全なFTP派生物と代替案もサポートしています。それらを見(jiàn)てみましょう。

ftpsおよびsftp

FTPSは安全なFTPです。HTTPSが安全なHTTPと同様に、SSL（セキュアソケット層）とTLS（輸送層セキュリティ）の上で実行されます。ユーザーの資格とデータは、最初に暗號(hào)化されてから送信されます。

サーバーが許可している場(chǎng)合、クライアントソフトウェアは、すべてではなく通信の一部のみを暗號(hào)化する柔軟性もあります?，F(xiàn)在の議論に基づいて、これは直感に反するようです。

ただし、FTPに切り替えるには価格（および価格）があります。 FTPを使用するには、自己署名のSSL証明書(shū)を生成するか、信頼できる証明書(shū)當(dāng)局から証明書(shū)を購(gòu)入する必要があります。したがって、より良いセキュリティが利用可能ですが、より多くの労力とコストが必要です。

しかし、あなたが戻ってくる前に、あなたの情報(bào)はあなたのビジネスにいくら価値があるかを自問(wèn)してください。これはあなたがそれに固執(zhí)するように説得するかもしれません。

今すぐSFTPを見(jiàn)てみましょう。 SFTPまたはSSHファイル転送プロトコルは、FTPSとは異なる方法で機(jī)能します。 SFTPはSSH 2.0の拡張として設(shè)計(jì)されており、通常のFTP接続を作成しますが、すでに暗號(hào)化された接続で実行されます。 FTPデータストリーム自體は通常のFTPよりも安全ではありませんが、実行する接続はより安全です。

SSH、SCPおよびその他のログインシェル

FTPをあきらめたい場(chǎng)合、なぜ途中で放棄する措置を講じるのですか？なぜFTPを使用するのですか？ SFTPがインストールされている場(chǎng)合、SSHツールがインストールされています。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><filezilla3></filezilla3>
    <servers></servers>
        <server></server>
            <host>localhost</host>
            <port>21</port>
            <protocol>0</protocol>
            <type>0</type>
            <user>anonymous</user>
            <pass>user</pass>
            <logontype>1</logontype>
            <timezoneoffset>0</timezoneoffset>
            <pasvmode>MODE_DEFAULT</pasvmode>
            <maximummultipleconnections>0</maximummultipleconnections>
            <encodingtype>Auto</encodingtype>
            <bypassproxy>0</bypassproxy>
            <name>test site</name>
            <comments> </comments>
            <localdir> </localdir>
            <remotedir> </remotedir>
            <syncbrowsing>0</syncbrowsing>test site
        >
    >
>