Quando è sicuro usare un client FTP basato sul web?

3

È sicuro usare un client FTP basato sul web? Se sì, quando? A cosa devo fare attenzione?

    
posta PyRulez 23.11.2015 - 14:59
fonte

6 risposte

8

Probabilmente no - se inserisci i tuoi dettagli FTP in un sito web, non hai idea di dove potrebbero finire. Inoltre, l'FTP è comunque insicuro - tutti i dati trasferiti su di esso (compresi i dettagli di accesso) sono visualizzabili in transito in chiaro. Ciò potrebbe essere tra il servizio Web e il server FTP, anche se la connessione al servizio Web utilizza HTTPS. In questo caso, non puoi vedere cosa sta succedendo, dato che personalmente non hai accesso a quella connessione.

Idealmente, usa SFTP, direttamente dalla tua macchina, o tramite una VPN: in entrambi i casi, tutto ciò che va oltre la connessione iniziale è crittografato, comprese le credenziali e i dati.

    
risposta data 23.11.2015 - 15:09
fonte
8

Is it safe to use a web-based FTP client? If so, when? What should I watch out for?

Dipende. Un client FTP basato sul web è come un proxy. Quanto ti fidi di un simile proxy dipende da quanto controllo hai su di esso. Se questo gateway FTP basato sul Web si trova nella rete della tua azienda, probabilmente ti puoi fidare come se fossi fidato del tuo proxy locale, perché il gateway ha il pieno controllo della tua azienda.

Se invece è all'esterno un gateway FTP casuale, non dovresti fidarti di esso, allo stesso modo in cui non dovresti fidarti di qualche proxy esterno casuale. Invece, dovresti chiederti perché il gateway è lì e qual è il loro modello di business. Ad esempio, i proxy pubblici spesso inseriscono pubblicità nel traffico o addirittura acquisiscono le tue credenziali per usarle da qualche altra parte.

    
risposta data 23.11.2015 - 15:39
fonte
4

Riposiamo la tua domanda da:

When is it safe to use a web based FTP client?

a:

When is it safe to use FTP?

Possiamo riaffermare la domanda perché se si utilizza l'FTP regolare (non crittografato), la risposta è la stessa sia che si tratti di un sistema basato sul Web:

È sicuro utilizzare FTP regolare quando non ti interessa se le tue credenziali sono compromesse.

È davvero così semplice. È possibile aggiungere un'avvertenza sul server FTP e sul client che si trovano entrambi su una rete interna, ma in questo caso si deve presupporre che la rete interna sia completamente sicura. Probabilmente è più sicuro non dover fare quella supposizione se ti interessano le tue credenziali.

    
risposta data 23.11.2015 - 15:50
fonte
0

Certo, è come sicuro da usare come qualsiasi altra cosa casuale sul web (vale a dire, in realtà "non molto" - ma non è questo il punto, visto che sei già sul web qui). Ma fidarsi è una questione completamente diversa.

La tua fiducia in qualsiasi servizio web che non controlli è una decisione basata su credenze / rischio / premio. È esattamente come decidere di fidarsi di un proxy o meno. Nella maggior parte dei casi non importa se stai usando un proxy o meno, dato che non hai alcun controllo sulla fonte di origine, anche se ora ti devi fidare di almeno tre o quattro entità anziché solo due (la CA del mittente, il mittente, la CA del proxy e il proxy). È una decisione fidata, niente di più, niente di meno.

    
risposta data 23.11.2015 - 16:23
fonte
0

Beh, in realtà non importa se si utilizza un client FTP basato sul Web o uno desktop se si ha fiducia negli sviluppatori. I client FTP basati sul Web non sono generalmente meno sicuri solo perché sono basati sul Web ma si ha meno controllo sui dati inviati e non si può vedere o analizzare ciò che viene fatto con esso. Qualsiasi app desktop potrebbe raccogliere le tue credenziali allo stesso modo di una web based.

MA come già detto in altre risposte, il protocollo FTP non è nemmeno sicuro! Non è crittografato. In altre parole, le credenziali di accesso vengono inviate in testo normale e gli hacker potrebbero recuperarle facilmente, ad esempio, con un attacco Man-In-The-Middle.

Quindi se vuoi davvero essere sicuro usa la FTPS o SFTP protocollo insieme a un'app open source dopo aver analizzato il suo codice. Un'altra opzione potrebbe essere l'utilizzo di un'app desktop affidabile e utilizzare un software pcap per vedere quali dati vengono inviati dall'applicazione e verificare che non stia inviando le credenziali a nessun'altra posizione rispetto al server a cui si desidera connettersi.

    
risposta data 23.11.2015 - 17:30
fonte
0

Potresti considerare sicuro utilizzare il client web basato su FTP, quando:

  • Considerate sicura la connessione tra client e server FTP
    • quando stai bene con ftp sniffing vulnerabilities (ad esempio ti connetti tramite connessione fidata, come VPN o rete locale e ci si fida che non ci siano sniffer sulla strada e nessun dispositivo sulla strada è compromesso - cosa potrebbe essere difficile nei momenti in cui la maggior parte dei router domestici sono in discussione ...).
    • o quando tale client supporta FTPS o SFTP e gestisce i certificati correttamente
  • Considerate il client basato sul Web come sicuro (non divulgando alcun dato + non vulnerabile a XSS e altri)
    • es. in esecuzione sul tuo computer locale e sapendo che è la fonte, sai che non condivide le informazioni con terze parti (ad esempio all'esterno della tua macchina)
    • come variante di quella variante potresti considerare questo client basato sul Web come implementato come plug-in del browser - > di nuovo, ricontrolla se non condivide i dati con terze parti
    • verifica se il client basato sul Web è resistente a Cross-site scripting AKA XSS e altri attacchi contro le applicazioni del browser
risposta data 16.05.2016 - 10:25
fonte

Leggi altre domande sui tag