¿Cuándo es seguro usar un cliente FTP basado en la web?

3

¿Es seguro usar un cliente FTP basado en web? ¿Si es así cuando? ¿Qué debo tener en cuenta?

    
pregunta PyRulez 23.11.2015 - 14:59
fuente

6 respuestas

8

Probablemente no: si ingresas los detalles de tu FTP en un sitio web, no tienes idea de dónde podrían terminar. Además, el FTP es inseguro de todos modos: cualquier dato transferido a través de él (incluidos sus datos de inicio de sesión) se puede ver en texto claro. Esto podría ser entre el servicio web y el servidor FTP, incluso si la conexión al servicio web utiliza HTTPS. En este caso, no puede ver lo que está pasando, ya que personalmente no tiene acceso a esa conexión.

Lo ideal es utilizar SFTP, directamente desde su máquina o a través de una VPN; en cualquier caso, todo lo que está más allá de la conexión inicial está cifrado, incluidas las credenciales y los datos.

    
respondido por el Matthew 23.11.2015 - 15:09
fuente
8
  

¿Es seguro usar un cliente FTP basado en web? ¿Si es así cuando? ¿Qué debo tener en cuenta?

Depende. Un cliente FTP basado en la web es como un proxy. Cuánto confía en dicho proxy depende de cuánto control tenga sobre él. Si esta puerta de enlace FTP basada en la web se encuentra en la red de su empresa, probablemente podría confiar en ella como si confiara en su proxy local, ya que la puerta de enlace tiene el control total de su empresa.

Si, por el contrario, se trata de una puerta de enlace FTP aleatoria externa, no debe confiar en ella, del mismo modo que no debería confiar en un proxy externo aleatorio. En su lugar, debe preguntarse por qué existe la puerta de enlace y cuál es su modelo de negocio. Por ejemplo, los servidores públicos a menudo inyectan publicidad en el tráfico o incluso toman sus credenciales para usarlas en otro lugar.

    
respondido por el Steffen Ullrich 23.11.2015 - 15:39
fuente
4

Replanteamos su pregunta desde:

  

¿Cuándo es seguro usar un cliente FTP basado en la web?

a:

  

¿Cuándo es seguro usar FTP?

Podemos reiterar la pregunta porque si está usando FTP regular (no encriptado), la respuesta es la misma, ya sea que esté basada en web o no:

Es seguro usar FTP regular cuando no te importa si tus credenciales están comprometidas.

Es realmente tan simple. Podría agregar una advertencia acerca de que el servidor FTP y el cliente estén en una red interna, pero luego debe suponer que la red interna es completamente segura. Probablemente sea más seguro no tener que hacer esa suposición si le importan sus credenciales.

    
respondido por el TTT 23.11.2015 - 15:50
fuente
0

Claro, es seguro para usar como cualquier otra cosa aleatoria en la web (es decir, en realidad "no muy"), pero ese no es el punto, ya que usted está en la web aquí). Pero confiar es un asunto completamente diferente.

Su confianza en cualquier servicio web que no controle es una decisión de amenaza / riesgo / recompensa basada en creencias. Es exactamente lo mismo que decidir si confiar en un proxy o no. En la mayoría de los casos, realmente no importa si está utilizando un proxy o no, ya que tampoco tiene control sobre la fuente de origen, aunque ahora requiere que confíe en un mínimo de tres o cuatro entidades en lugar de solo dos (la CA del originador, el originador, la CA del proxy y el proxy). Es una decisión de confianza, nada más, nada menos.

    
respondido por el zxq9 23.11.2015 - 16:23
fuente
0

En realidad, en realidad no importa si usa un cliente FTP basado en web o uno de escritorio siempre que confíe en los desarrolladores. Los clientes FTP basados en web generalmente no son menos seguros solo porque están basados en web, pero usted tiene menos control sobre los datos enviados y no puede ver ni analizar lo que se hace con ellos. Cualquier aplicación de escritorio podría reunir sus credenciales de la misma manera que una basada en la web.

PERO como ya se mencionó en otras respuestas, ¡el protocolo FTP en sí ni siquiera es seguro! No está encriptado. En otras palabras, sus credenciales de inicio de sesión se envían en texto sin formato y los piratas informáticos podrían recuperarlas fácilmente, por ejemplo, mediante un ataque Man-In-The-Middle-Attack.

Entonces, si realmente quieres estar seguro, usa FTPS o SFTP junto con una aplicación de código abierto después de analizar su código. Otra opción sería usar una aplicación de escritorio en la que confíe y usar un software pcap para ver qué datos envía la aplicación y verificar que no esté enviando sus credenciales a ninguna otra ubicación que no sea el servidor al que desea conectarse.

    
respondido por el Nico Hauser 23.11.2015 - 17:30
fuente
0

Puede considerar que es seguro utilizar un cliente basado en web FTP, cuando:

  • Considera que la conexión entre el cliente y el servidor FTP es segura
    • cuando esté bien con ftp vulnerabilidades de rastreo (por ejemplo, se conecta a través de una conexión de confianza, como VPN o red local y confía en que no haya rastreadores en el camino ni ningún dispositivo en el camino comprometido, lo que podría ser difícil en los momentos en que la mayoría de los enrutadores domésticos están en duda ...).
    • o cuando dicho cliente admita FTPS o SFTP y maneje los certificados correctamente
  • Considera que el cliente basado en la web es seguro (no divulga ningún dato + no vulnerable a XSS y otros)
    • por ejemplo ejecutándose en su máquina local, y sabiendo que es fuente, usted sabe que no comparte información con terceros (es decir, fuera de su máquina)
    • como variación de esa variante, podría considerar que este cliente basado en web se implementará como complemento del navegador - > Nuevamente, vuelva a verificar si no comparte datos con un tercero
    • audite si el cliente basado en web es resistente a secuencias de comandos entre sitios AKA XSS y otros ataques contra aplicaciones de navegador
respondido por el Grzegorz Wierzowiecki 16.05.2016 - 10:25
fuente

Lea otras preguntas en las etiquetas