3 votes

Altiano Gerung avatar

Ma connexion FTP est-elle sécurisée ?

Demandé el 22 de Août, 2015
Quand la question a-t-elle été
2278 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Tout d'abord, je ne suis pas sûr de pouvoir poser cette question dans StackOverflow, car il s'agit de programmation, donc SuperUser est un endroit plus approprié, je pense.

Mon hébergeur m'a dit que la fonction FTP n'est pas sécurisée (ni FTPS ni SFTP) pour le pack d'hébergement que j'ai acheté (j'utilise l'hébergement partagé).

(Je ne crois pas vraiment le CS parce que la réponse à ma question précédente (sur laravel dans un hébergement mutualisé) était fausse, elle a dit que ce n'était pas possible mais après avoir regardé quelques vidéos, je peux le faire fonctionner).

Tout d'abord, je pense que c'est juste car l'url pour se connecter au FTP est quelque chose comme : ftp://ftp.[mywebname].com

Mais quand j'ai essayé de me connecter via le client FTP FileZilla, la sortie de la console est

Status: Resolving address of ftp.xxxxxxx.com
Status: Connecting to xxx.xxx.xxx.xxx:21...
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Connected
Status: Retrieving directory listing...
Status: Directory listing of "/" successful

Et voici le détail du certificat (L'icône indique également qu'il est crypté) Voici la capture d'écran :

screenshot

De plus, j'ai essayé de me connecter via le client FTP Cyberduck, il m'a dit que la connexion n'est pas sécurisée et m'a proposé la voie sécurisée, même si le certificat est dit 'non fiable'. Cette option s'affiche également la première fois que je me suis connecté via FileZilla.

Demandé el 22 de Août, 2015 par Altiano Gerung

Réponses

Trop de publicités?

3voto

John Gratton avatar
John Gratton Points 31

Je me risquerais à dire que le serveur sur lequel vous effectuez le ftp est configuré comme décrit dans cet article du wiki FileZilla.

https://wiki.filezilla-project.org/FTP_over_TLS

Il autorisera le ftp sur tls si l'utilisateur l'opte du côté client.

Avez-vous essayé de configurer votre client ftp, dans votre cas "cyber duck", pour utiliser tls ? Cette page wiki explique comment configurer différents clients.

En outre, dans l'intérêt de la brièveté, vous pouvez rechercher le support de votre hébergement pour : ftp over tls

Répondu el 22 de Août, 2015 par John Gratton (31 Points )

3voto

Chris Lercher avatar
Chris Lercher Points 22134

... via le client FTP Cyberduck, il a dit que la connexion n'est pas sécurisée.

Le serveur (nom réel et certificats cachés, mais ce qui est montré montre ce qui s'est passé avec le serveur réel) utilise un certificat auto-signé qui ne correspond pas non plus au nom d'hôte :

$ openssl s_client -starttls ftp -connect ftp.example.com:21
...
Certificate chain
 0 s:/CN=server10.example.org/emailAddress=ssl@server10.example.org
   i:/CN=server10.example.org/emailAddress=ssl@server10.example.org

Ce type de certificat peut être utilisé pour sécuriser une connexion, mais uniquement si le client sait à quel certificat il doit s'attendre par un autre moyen, par exemple si le fournisseur indique personnellement au client l'empreinte digitale du certificat du serveur et que le client vérifie ensuite l'empreinte digitale lors de la connexion.

Dans tous les autres cas, l'utilisation de ces certificats n'est pas sûre car n'importe qui peut créer un tel certificat et réaliser une attaque de type "man-in-the-middle".

Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established

Il semble que le message "Verifying certificate..." n'ait pas été exécuté, que le résultat ait été rejeté ou que vous ayez déjà fait confiance à ce certificat.

En outre, FTPS n'est pas sûr, à moins que vous n'imposiez l'utilisation de FTPS. Si vous faites simplement confiance à votre client FTP pour utiliser le cryptage (c.-à-d. TLS) lorsqu'il est disponible et pour continuer sans cryptage dans le cas contraire, alors tout ce qu'un homme au milieu a à faire est de rejeter la demande d'accès à FTPS. AUTH TLS qui est utilisée pour créer le tunnel TLS. Si vous appliquez plutôt FTPS et si vous vérifiez le certificat, FTPS peut être utilisé de manière sécurisée.

Pour plus d'informations, je vous recommande de mieux vous renseigner sur security.stackexchange.com.

Répondu el 22 de Août, 2015 par Chris Lercher (22134 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X