Si può usare https invece di sftp per trasferimenti sicuri di file?

18

La mia azienda lavora con i dati finanziari e ci viene richiesto di trasferire file contenenti informazioni di consumatori non pubblici in modo sicuro tra la nostra azienda ei nostri clienti.

La solita soluzione è quella di andare con sftp per i trasferimenti di file, tuttavia molti dei nostri clienti non sono tecnicamente seri, e farli configurare con il software sftp e insegnargli come usarlo richiede molto tempo e spesso risulta frustrante per entrambe le parti .

Come soluzione facile, ho creato un sito web molto semplice ospitato su https che consente agli utenti di accedere utilizzando le loro credenziali ftp e caricare / scaricare file attraverso un'interfaccia web.

Ma https può essere considerato l'equivalente di sftp come metodo per trasferire in sicurezza un file?

    
posta Rachel 14.11.2012 - 16:20
fonte

5 risposte

17

HTTPS e SFTP, se usati correttamente, sono ugualmente sicuri. Gli algoritmi di crittografia sottostanti in pratica sono entrambi equivalenti dal punto di vista funzionale: nessuno dei due può essere interrotto in pratica attaccando direttamente i protocolli crittografici.

Tuttavia, in pratica con l'utente esperto non tecnologico, HTTPS è leggermente più debole a mio parere.

Ci sono attacchi a entrambi che possono essere lanciati su utenti poco esperti e non esperti di tecnologia. L'attacco a SFTP come ha detto Rell3oT è che in genere inizialmente non si conosce la chiave pubblica di SFTP quando ci si connette per la prima volta, e lo si ricorda per tutte le connessioni successive (anche se il record DNS SSHFP definito in DNSSEC potrebbe risolvere questo problema, ma non è attualmente ampiamente utilizzato ). Ciò significa che un utente malintenzionato che reindirizzava inizialmente il traffico Internet al proprio server sftp falso poteva acquisire i dati dell'utente, se miravano l'attacco a qualcuno che si connette al sito sftp per la prima volta da un computer (che non ha la chiave pubblica salvata). Questo attacco non può avvenire nelle connessioni successive.

Tuttavia, con https ci sono molti altri potenziali attacchi introdotti che gli utenti non esperti di tecnologia potrebbero essere ingannati.

  1. L'utente non può accedere al link , ma invece digita your-secure-file-transfer.com nel browser web (che per impostazione predefinita va alla versione http ). Un utente malintenzionato può attendere questo caso e quindi acquisire questo traffico e reindirizzare la sua copia falsificata di quel sito; rubare le informazioni di autenticazione / dati finanziari. (Sì, una cosa simile potrebbe accadere con la sostituzione di sftp con ftp, ma come è tipicamente fatto in un'app separata che salva le informazioni di connessione sembra meno probabile - per andare alla versione ftp l'utente deve tipicamente digitare manualmente un diverso numero di porta). Puoi risolvere il problema richiedendo al sito HSTS attivato . A meno che non stiano attenti alla barra degli URL che mostra https , l'utente potrebbe non notare che si trova in un sito http o un URL diverso. HSTS è abilitato solo su un piccolo elenco di siti Web principali dalla maggior parte dei browser. Il più delle volte viene abilitato in un browser Web dopo aver visitato il sito HTTPS per la prima volta (dove c'è un'intestazione per ricordare che questo sito deve sempre connettersi tramite https); fornendo una sicurezza funzionalmente equivalente a SFTP.
  2. Un browser Web utente non esperto di tecnologia è meno sicuro del tuo client SFTP standard. Gli utenti spesso installano varie estensioni del browser che hanno la possibilità di accedere a tutte le attività su Internet per ottenere una sorta di funzionalità. Questa funzionalità aggiuntiva può venire con un attacco segreto; ad esempio, rubare i cookie di sessione, le informazioni inserite nei moduli (come la loro password), ecc. che alla fine vengono rimandati all'autore del cliente.
  3. La CA (o CA intermedia) potrebbe essere compromessa in qualsiasi data e gli autori di attacchi potrebbero ottenere certificati attendibili dal browser che consentono loro di falsificare i tuoi https senza rilevamento. Questo differisce ancora da SFTP, dove il client sftp memorizza la chiave pubblica per il sito che ha visto prima e avvisa se è stata modificata. (I browser Web non lo faranno, i certificati possono cambiare fino a quando sono firmati correttamente. Anche in questo caso è improbabile che cambino presto, poiché i server web con bilanciamento del carico hanno generalmente tutti certificati firmati diversi.

Tutto sommato direi che HTTPS è leggermente più debole nella pratica di SFTP; mentre entrambi sono ugualmente sicuri in base ai loro meriti crittografici. Se istruisci i tuoi utenti per verificare che https sia presente e nel dominio corretto, e inoltre instillato paranoia sull'uso delle estensioni del browser sui loro computer di lavoro (o suggerisci di utilizzare la modalità privata dei browser in genere con poche estensioni installate) sarà all'incirca equivalente (supponendo che tu abbia correttamente configurato il sito con HSTS / cookie sicuri solo http, ecc.)

    
risposta data 14.11.2012 - 18:34
fonte
17

Sì. Direi che HTTPS è equivalente o migliore di SFTP.

HTTPS utilizza un'autorità di certificazione centrale in cui SFTP non lo fa. C'è un rischio la prima volta che ti autentichi con SFTP. L'uso di HTTPS della terza parte fidata impedisce questo rischio.

È importante notare che (supponendo che sia stato stabilito un canale sicuro) SFTP e HTTPS sono ugualmente sicuri.

    
risposta data 14.11.2012 - 16:43
fonte
3

HTTPS e SFTP differiscono in un modo molto importante che, a mio parere, inclina significativamente il vantaggio verso HTTPS: lo streaming dei dati rispetto al trasferimento dei file. Una connessione HTTPS appropriata tra i servizi software genera e trasmette dati in modo incrementale e non richiede file a riposo. D'altra parte, SFTP per convenzione, pratica e protocollo richiede che i file vengano creati e archiviati durante il trasferimento (invio e ricezione) - quindi due copie a riposo esistono contemporaneamente.

I file zero a riposo rispetto a due file a riposo sono enormi, in particolare se inseriti nel contesto del problema CA. Vince HTTPS.

    
risposta data 24.11.2015 - 00:37
fonte
1

È stata accettata una risposta che fornisce alcune buone ragioni per l'SFTP, ma sembra che nessuno abbia avanzato molti dei vantaggi dell'utilizzo di https.

Innanzitutto, la disponibilità di strumenti per "https" è molto più ampia di quella per SFTP. Ha un utilizzo molto più ampio, quindi dovrebbe essere una tecnologia più matura.

È molto più facile integrare strumenti di diversi fornitori senza compromettere la forza della crittografia.

Spostare file da soli ha poco beneficio. È quando i dati vengono elaborati che il valore è realizzato. È molto più facile integrare l'elaborazione con i trasferimenti "https" rispetto a SFTP.

Http (e 'https) ha un vocabolario per descrivere come devono essere interpretati i dati (codifica, lingua, tipo mime) ed elaborati (get, post, put, delete) che non sono disponibili in SFTP.

Http (s) fornisce un meccanismo per fornire informazioni contestuali insieme alla capacità di trasferimento: documentazione, informazioni sull'utilizzo degli account, gestione degli account, registrazione dei problemi e altro ancora non disponibile SFTP.

Spesso l'anello più debole in una rete sicura sono gli utenti. Gli utenti hanno una migliore comprensione di HTTPS rispetto a SFTP. I certificati / chiavi del client aggiungono un po 'di complessità a questo, ma dire alle persone di verificare la presenza di uno sfondo verde nell'URL è molto più facile che parlarne attraverso l'abilitazione del controllo dell'host e il passaggio del rollover se cambiano.

I certificati https hanno una data di scadenza e un meccanismo di verifica oob (pre-registrazione HSTS).

Il fatto che tu stia facendo la domanda mi fa pensare a un tuo analista di sicurezza / amministratore di sistema. Da quel punto di vista le differenze potrebbero non essere così chiare. Vai a parlare con i tuoi sviluppatori e utenti e otterrai un'immagine molto diversa.

    
risposta data 05.10.2015 - 23:44
fonte
0

Vorrei commentare senza una risposta, ma prima devo stabilire la mia reputazione. SFTP può essere fatto per avere una superficie di attacco più piccola. HTTPS implica un processo del server Web ed è esso stesso esposto agli attacchi. SFTP sembra una configurazione più semplice.

Elenco delle cose da fare: -dedicare un host per SFTP -run rcconf e uccidi tutti i tuoi servizi non necessari -Crea un gruppo di utenti sftp e chroot - registrazione attiva delle attività utente SFTP separate in modalità dettagliata -creare sottodirectory incoronate per ciascuno dei tuoi clienti / partner - salva i tuoi dati su un host diverso

    
risposta data 05.10.2015 - 22:34
fonte

Leggi altre domande sui tag