回归最本质的信息安全

重拳出击!Google Chrome浏览器将把 FTP网站标记为不安全

2017年9月22日发布

38,925
0
1

导语:Google始终在为确保页面访问时传输状态安全而不懈努力,近日,据外媒报道称,Google决定将通过FTP协议传输的页面资源标记为“不安全”。

1505972871158133.jpg

Google始终在为确保页面访问时传输状态安全而不懈努力,近日,据外媒报道称,Google决定将通过FTP协议传输的页面资源标记为“不安全”。

关于FTP及其终将消亡的理由

文件传输协议(FTP)是用于在计算机网络上的客户端和服务器之间传输计算机文件的基本网络协议。该协议自20世纪80年代便一直存在,它可以通过FTP Secure(FTPS)扩展来支持更加安全的SSL和TLS协议,但是遗憾的是,Web浏览器是不支持SSL协议的。此外,它还有很多为人诟病的缺点:

1. 数据传输模式不合理

不考虑文件自身的内容,一味使用ASCII模式传输数据是不合理的。文件传输协议(FTP)应该具有自动检测功能,当然用户也可以进行自定义。

虽然现在许多Linux和Windows客户端已经支持自动传输模式,但多达数代的UNIX和Windows客户端都默认使用ASCII传输模式,这种传输模式甚至会造成文件损坏。

2. 工作方式设计不合理

文件传输协议(FTP)可以在主动模式(PORT)或被动模式(PASV)下工作,这决定了数据链接建立的方式。

在主动模式下,客户端首先向服务器端发送IP地址和端口号,然后等待服务器端建立TCP链接。在被动模式下,客户端同样首先建立到服务器的链接,但服务器端会开启一个端口(1024到5000之间),等待客户端传输数据。文件传输协议(FTP)中最让人不可思议的是,客户端会侦听服务器端!

3. 与防火墙工作不协调

文件传输协议(FTP)诞生在网络地址转换(NAT)和防火墙之前,那时的网络还不存在恶意攻击。今天大多数最终用户的IPv4地址已不可路由,这是因为防火墙的使用和IPv4地址的短缺。

这对FTP意味着什么呢?这意味着如果FTP客户端IP地址不可路由,或者位于防火墙之后,那么就只能使用被动传输模式进行数据传输。如果服务器端的IP地址也不可路由,或者位于防火墙之后呢?FTP将无法进行数据传输!

现在,许多防火墙适用于NAT环境,可以使用一些特殊的技巧(hacks)允许FTP在防火墙之后正常工作。当然,这需要对防火墙进行配置。

4. 密码安全策略不完善

在互联网早期,文件传输协议(FTP)并没有对密码安全作出规定。在FTP客户端和服务器端,数据以明文的形式传输,任何对通讯路径上的路由具有控制能力的人,都可以通过嗅探获取你的密码和数据。

我们当然可以使用SSL封装FTP,但FTP是通过建立多次链接进行数据传输的,我们即便是保护了密码安全,也很难保护数据传输的安全性。

5. FTP协议效率低下

从FTP服务器上检索一个文件,需要非常繁复的交换握手步骤,对于这一点,相信使用过的用户应该深有感触,在此就不做赘述了。而传输一个文件,FTP通常也需要往复10次,而HTTP只需要2次!如果传输多个文件,FTP可以省略发送用户名和密码的步骤,而HTTP则可以使用固定的套接字(Socket),在相同的TCP连接中传输文件。

综上所述,虽然文件传输协议(FTP)曾经显赫一时,但现在已经过时了,它是一个既不不安全,也不不友好,而且效率低下的协议,势必被取而代之。

Google重拳出击!将FTP网站标记为“不安全” 

是的!相信近日Google公司也是意识到了这一点,所以宣布,未来版本的Chrome浏览器中,将把通过FTP协议传输的资源标记为“不安全”。据悉,该安全功能将被添加到计划于2017年12月发布的Google Chrome 63版本中。

Chrome-FTP-not-secure.png

此外,Google也在继续努力鼓励网站所有者和管理员采用替换的HTTPS协议,最大程度的保障网络安全。该公司软件工程师Mike West表示,

为了确保页面访问时传输状态安全,我们计划将通过FTP协议传输的资源标记为‘不安全’,这个安全功能将会从Chrome 63版本开始实践(2017年12月左右)。

Mike West解释称:

我们在原始计划中并没有包含FTP协议。但不幸的是,其安全属性实际上比HTTP还差(以明文形式传输,没有类似HSTS那样的升级潜力)。鉴于上个月的高层协议访问统计,FTP的使用率只是徘徊在0.0026%左右,而且考虑到其传输方式为用户带来的安全隐患,所以,决定将其标注为‘不安全’是合理的。

此外,统计数据还发现,大约5%的下载不是通过HTTP / HTTPS进行的,应该是通过FTP。对此,Google 鼓励网站开发人员将他们提供的可下载文件(特别是可执行文件)尽快从FTP迁移到HTTPS上,因为其将在年底终止所有FTP服务。

本文翻译自:http://securityaffairs.co/wordpress/63119/security/chrome-ftp-unsecure.html ,如若转载,请注明原文地址: http://www.4hou.com/info/news/7709.html

点赞 1
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

小二郎

小二郎

这个人很懒,什么也没留下

发私信

发表评论