Sven Rautenberg: (FTP-)Sicherheit

Beitrag lesen

SELF-Forum

(FTP-)Sicherheit

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Also abgesehen davon, daß das FTP-Protokoll schon verdammt alt ist und nicht mehr als sicher angesehen werden kann, gibt es da schon einiges, was du machen kannst.

Wenn ich da mal direkt einhaken darf:

Wieso machst du irgendeine Sicherheit eines Protokolls an dessen Alter fest? Weißt du, wie alt HTTP ist? Da ist man über Version 1.1 auch nicht hinausgekommen, trotzdem ist an diesem Protokoll hinsichtlich der Sicherheit noch keinerlei Kritik laut geworden.

Das gleiche gilt für FTP: Das Protokoll an sich ist prima. Und es ist auch sicher - es macht ganz sicher das, was man von ihm verlangt.

Nur ein Punkt ist halt blöd: Es ist ein Klartextprotokoll ohne Verschlüsselung, weshalb übermittelte Usernamen und Passworte eben sehr leicht mitgelesen werden können - wenn der Angreifer denn über diese Macht verfügt.

Da aber trotzdem eigentlich alle Hostinganbieter ihren Webspace-Kunden immer noch FTP-ZUgang anbieten, scheint dieses Angriffsszenario nicht allzu häufig aufzutreten.

Wenn du wirklich was Sicheres suchst, dann solltest du auf FTP verzichten und etwas anderes wählen.
Vielleicht SCP oder vielleicht mit "Secure FTP" arbeiten (nicht zu verwechseln mit SFTP).
Da wird mit einer starken Verschlüsselung gearbeitet, was bei FTP nicht der Fall ist.

Die Verschlüsselung auf dem Übertragungsweg ist nur ein Faktor von "Sicherheit". Denn auch mit supertoller Verschlüsselung ist es für den Angreifer, wie er jetzt beschrieben wurde, absolut identisch schwierig, durch Ausprobieren von Usernamen und Passwörtern Zugang zu erlangen.

Dagegen hilft nur, keine erratbaren Passwörter zu benutzen. Wenn man das aber tut, ist man auch mit normalem FTP gut gegen diese Angriffsform gerüstet.

Im Prinzip bringt Brute-Force immer 100%igen Erfolg. Es kommt halt nur auf den Zeitfaktor an...

Jaja, aber stelle den Zeitfaktor mal nicht so in Abrede! Der ist durchaus relevant, denn wer wartet denn schon gerne länger, als das Universum bis jetzt alt geworden ist?

Und in jedem Fall solltest du dir überlegen, ob es nicht möglich ist, auf FTP komplett zu verzichten und SecureFTP einzusetzen.

Es gibt nicht nur SFTP, es gibt auch FTPS. Nur bringt das im Vergleich zu FTP und dessen Resistenz gegen Brute Force keinen Unterschied.

SFTP hingegen hängt meist an einem SSH-Zugang mit dran - und Shellzugriff will man für unbedarfte Benutzer nun erst recht vermeiden. Vermutlich auch deshalb sind FTP-Zugänge noch so beliebt.

- Sven Rautenberg

--
"Love your nation - respect the others."
Beitrag melden
Informationen zu den Bewertungsregeln