web-dev-qa-db-fra.com

Que peut-il arriver si j'utilise un client FTP sans TLS?

Pour une raison quelconque, la connexion au serveur à l'aide d'un client FTP (par exemple, filezilla) ne fonctionne pas avec le cryptage TLS activé. J'ai dû le désactiver pour utiliser FTP. Je me demande donc pourquoi le protocole TLS est nécessaire en premier lieu et quels sont les risques que je présente en désactivant.

httpssecurityftp
1
ruben

Source: https://webmasters.stackexchange.com/a/477/20604

Lors de l’utilisation de FTP, il est important de garder quelques points à l’esprit: il n’est pas crypté par défaut, ce qui signifie que vos informations d’identité et le contenu que vous envoyez sont envoyés en clair et sont donc vulnérables aux interceptions. Pour résoudre ce problème, vous devez vous connecter à votre fournisseur d'hébergement via FTPS (FTP sur SSL/TLS).

Source: Différences SFTP, FTPS et SecureFTP et implications pour la sécurité

Il existe 3 protocoles différents couramment utilisés pour le transfert de fichiers sur Internet. Ils sont généralement confondus.

  • FTPS - une extension du protocole FTP à prendre en charge lors de l'utilisation de FTP sur SSL/TLS. Ceci est généralement basé sur une négociation demandée par le client, et il existe des commandes FTP spécifiques pour demander/appliquer/implémenter le chiffrement à l'aide de SSL.

  • FTP sur SSH (communément appelé SecureFTP) - tunneling FTP standard sur une connexion SSH. Sachez qu’il est un peu plus compliqué d’obliger les canaux de données à continuer le tunneling sur SSH, même si le canal de contrôle est tunnel.

  • SFTP - Il s'agit d'un protocole totalement différent , le protocole de transfert de fichiers SSH. Ceci est pas lié à FTP, mais est un protocole complètement différent. SFTP est en fait un sous- protocole de la suite de protocoles SSH, c’est-à-dire une extension SSH (bien que je sache qu’elle peut être utilisée séparément, aussi).

L'avantage de FTPS est qu'il est similaire à HTTPS - même type de certificat, etc. De nombreux serveurs Web prennent en charge FTPS de manière native, il est donc souvent "plus simple" de configurer et de faire en sorte que les administrateurs soient plus rapides.
SFTP a l'avantage dans les magasins * nix, qui sont généralement déjà plus conviviaux pour SSH. S'ils configurent déjà un serveur SSH public en toute sécurité, il est assez simple d'ajouter une fonctionnalité SFTP.

Notez que SecureFTP (FTP sur SSH) n’est PAS trivial dans tous les cas (même si vous avez déjà configuré SSH), et je ne l’ai pas vu utilisé par des organisations soucieuses de la sécurité (cela ne veut pas dire que cela ne peut pas être , mais n'est pas communément).

2
Simon Hayter