Sven Rautenberg: Verzeichnisschutz im www

Beitrag lesen

Moin!

Bla, bla, bla! Wenn Dateien im Web sicher sein sollen, dann darf man sie nicht ins Netz stellen. Alles andere ist - Verzeichung! - relativ und deswegen unsicher.

Das kann ich so nicht nachvollziehen.
MMn ist eine ssl-Verbindung mit secure-ftp immer noch erheblicher sicherer, als eine klassische ftp-Verbindung.

Die Frage ist, was man hier miteinander vergleicht.

Mal konkret:

FTP übermittelt Daten und Passworte im Klartext - also ungeeignet.
HTTP übermittelt Daten im Klartext, die Passworte bei Basic-Authentifizierung ebenfalls - also ebenfalls ungeeignet.

HTTPS verschlüsselt die gesamte Datenübertragung, deshalb wird, obwohl innerhalb des SSL-Tunnels Klartext durchläuft, die Übertragung sicher.

Es gibt auch FTPS, das ist dasselbe wie HTTPS, nur mit FTP. Das ist aber so selten, dass man es kaum irgendwo findet. Für die Sicherheit gilt aber das bei HTTPS gesagte.

Weiter gibts SFTP. Das ist eine Dateiübertragung auf Basis von Secure Shell (SSH), dementsprechend auch verschlüsselt. Dasselbe in Grün ist SCP.

HTTP und FTP verbieten sich also sowieso.

FTPS ist ungebräuchlich, ich hab noch nicht gehört, dass es dafür Server gibt (soll heißen: Ich hab nicht gesucht, ob es die gibt, ich nehme es an, aber man findet sie nirgends aktiv in Anwendung), und Clients sind auch eher selten.

SFTP und SCP erfordern Shellzugriff, den man, wenn nur Dateitransfer erlaubt werden soll, erst wieder etwas aufwendiger einschränken muss.

HTTPS benötigt in irgendeiner Weise auf dem Webserver einen Mechanismus für Schreibzugriff. Nett ist für sowas die DAV-Erweiterung, wenn man einen passenden Client hat (was prima funktioniert, ist beispielsweise Subversion über HTTPS). Ohne sowas ist man drauf angewiesen, dass POST-Requests ausreichend große Dateien verarbeiten können, man ist aber dadurch eingeschränkt, dass man im Browser eine Verwaltungsoberfläche basteln muß - und das wird nie so komfortabel, wie es mit einem spezialisierten Client werden kann.

Bei Nutzung des klassischen ftp werden immer wieder Pakete ausgetauscht, die lesbare Zugangsdaten enthalten.

Also wäre eine Voraussetzung für eine mMn relativ sichere Filebasis dann mindestens https.

Alles ohne Verschlüsselung verbietet sich halt von selbst, wenn man in die Nähe von "sicher" kommen will.

- Sven Rautenberg

--
"Love your nation - respect the others."