FTP - bezpečnost

[f-m]

Zdravím,
Zrovna hledám na internetu nějaký dobrý free ftp klient. Potřebuji si totiž na webzdarma (nebo někde kde je free hosting a doména) zaregistrovat hosting a doménu a vyzkoušet a naučit se pár věcí. Časem si chci pořídit vlastní placenou doménu. Chci využít pro přenos zdrojových html souborů ftp, protože mi to přijde nejvhodnější, než nějaké webové rozhraní nebo něco.

Jak tak ale procházím diskuse o volbě dobrého ftp klienta, tak narážím na diskuse ohledně bezpečnosti. Na co si musím dát pozor a co mi zde hrozí? Může se mi do pc přes ftp třeba dostat nějaký malware ze serveru poskytovatele? Na co dát pozor a jak se chránit?

Děkuji

[Khaan]

Zdravím,
za sebe mohu doporučit Total Commander (aktuálně ve verzi 8.01), používám jej několik let jako souborového správce, a od doby, kdy byly fixnuty kritické bugy, i jako FTP klienta (pohodlí - vše v jednom). Upozorňuji, že jeho bug, kdy uchovával hesla v plain textu, nešifrované, je již několik let opraven. Dnes si tam samozřejmě nastavíte svá připojení k serverům a zašifrujete je jedním hlavním heslem, takže se v wcx_ftp.ini (konfigurační soubor programu) ukládají jen hashe (myslím, že dokonce osolené). Téměř denně přes něj přistupuji k několika serverům a spokojenost, mé požadavky splňuje. Samozřejmě existují i specializovanější FTP klienti, ale pro běžné využití plně postačuje.

Pokud máte připojení k serverům chráněna silným master heslem, jste v pohodě (samozřejmě platí běžná bezpečností opatření: FW, AV, neklikám na nedůvěryhodné odkazy etc.).
Časy, kdy se servery hackovaly tak, že se na p2p sítích (typicky na DC++) vyhledávaly nasdílené soubory wcx_ftp.ini resp. wincmd.ini jsou již, doufám, minulostí.

Co se týče webhostingu, doporučuji navštívit třeba tento český srovnávací web. Pro provozování vlastní domény druhého řádu na freehostingu mohu za sebe doporučit třeba Pipni.cz - v posledních letech se dostupnost trošku zlepšila (hostuji u nich asi 5 let), případně také lze využít služeb Endora.cz. Pokud chcete zdarma i doménu druhého řádu, mrkněte sem. Pokud vám stačí doména třetího řádu, můžete využít služeb Wz.cz, IC.cz atp.

Co se týče registrátora domén druhého řádu, doporučuji SubReg.cz (přešel jsem k nim od Forpsi.com a spokojenost, u Forpsi jsem byl s administrací velmi nespokojen, oproti tomu Subreg má administraci výbornou, také neustále zavádí inovace, viz např. DNSSEC i na generických doménách, hromadné ověřování, odchyt atp.).

[Vrtule]

Zdravím,

také používám Total Commander jako hlavního FTP klienta. V některých případech se uchyluji k FileZilla FTP Client, který umí pár věcí navíc, ale práse s ním je méně pohodlná. A nevím, jak je to tam s hesly.

Co se týče bezpečnosti samotného protokolu FTP
Protokol sám o sobě bezpečný není z toho důvodu, že se heslo posílá cílovému serveru v otevřené podobě, takže kdokoliv odposlouchávající sť někde mezi vámi a cílovým serverem si jej může přečíst. Tento problém lze odstranit použití FTP protokolu společně se SSL (FTPS), ale toto vylepšení musí podporovat i cílový server. Nevím, jak je tato podpora u freehostingů rozšířená.

Přenášet soubory lze i pomocí dalších bezpečných protokolů (SFTP/SSH), opět je ale musí podporovat i cílový server. A řekl bych, že u freehostingů asi podpora těchto protokolů rozšířená moc nebude. Ale možná se svět za těch pár let, co freehosting nepoužívám, změnil.

[Khaan]

Pokud chcete přenášet šifrovaně, tak máte dvě čisté (VPN, TOR... pominu) možnosti (třeba pro to Pipni.cz - a myslím, že je to takto i u ostatních hostérů):
- zaškrtnete použití SSL, třeba v tom Total Commanderu, viz stav u Pipni.cz jako příklad:

FTP Server : ftp.vašedoména.cz
WebFTP : http://webftp.vašedoména.cz
FTP Login : vašedoména.cz nebo jméno.vašedoména.cz
Readonly FTP účet s denní zálohou webu a databází: backup.pipni.cz a backup2.pipni.cz (login a heslo stejné jako do administrace)
Vytvořením adresáře v root adresáři založíte novou poddoménu. Možnost využití SSL protokolu FTPS (port 21).

- použijete webFTP rozhraní přes HTTPS, opět příklad pro Pipni.cz to je: https://webftp.pipni.cz (šifrovaný přenos dat, zapnuté SSL).

Nemám v úmyslu tady Total Commander nějak vychvalovat, zmiňuji ho, protože s ním mám zkušenosti a určitě je to pohodlnější řešení než ftp.exe přes konzoli (a koneckonců i ten šifrovaný přenos umí)...

[f-m]

Díky, zkusím ten total commander. Kdysi dávno jsem jej dlouho používal jako správce souborů, nyní už ne. Ale zkusím jej znovu na to ftp. Měl jsem právě obavu z jeho bezpečnosti, protože vím, že tam byl nějaký problém s kradnutím hesel. Ale když je to už tedy vyřešeno...

Stáhl jsem si a nainstaloval 64bitovou verzi (mám 64bit os). Virustotal mi hlásil dvakrát malware, ale snad jde o planý poplach (pokud ne, tak by to byl problém, protože jsem jej již nainstaloval): https://www.virustotal.com/file/805374f ... 355431838/
(kdyby to byla jedna hláška jen od eSafe, tak bych se nad tím nepozastavoval, ale takto mě to zarazilo.)

[Khaan]

Já stahuju většinou verzi "32+64 bit", instalátor si pak sám vybere podle systému (Win 3.1/95/98/ME/NT/2000/XP/Vista/7/8).

Já jsem v tomhle docela naivní a budu věřit autorovi TC, že v kódu nemá nějaký ten backdoor, protože si myslím, že za ty roky a taková masa lidí (především odborná IT komunita), která TC používá... těžko by skryl backdoor a když ano, tak prostě případné trestněprávní konsekvence by autor těžko ustál.

[f-m]

Zdravím,
tak problém asi nastal v tom, čemu vůbec nerozumím a to je firewall. (používám ten co je ve windows 7)
Nedaří se mi přenést na server ani blbý html soubor. Dlouho se zobrazuje 0% a nic se neděje.

Při prvním připojení mi windowsácký firewall vyhodil hlášku, kterou jsem ale stornoval (což možná byla chyba). Pak TC vyhazoval nějaké hlášky jako PASV atd. Potom přestal internet fungovat úplně včetně klasického webu z prohlížeče (80), kdy pomohl až restart PC.

Při dalším připojení mi Total commander pořád akorát vyhazuje nějaké hlášky jako PASV, TYPE I, STOR index.html, TYPE A, atd....

Můžete mi někdo prosím poradit, kde je chyba a jak to napravit? Firewally jsou pro mě problém a vůbec jim nerozumím, nechci ale někde povolit něco, co by mě mohlo ohrozit.
Jen mi prosím moc neraďte, ať přejdu na jiný firewall. Těm nastavováním vůbec nerozumím a windowsácký mi celkem stačí.

[Khaan]

Osobně si dovolím tvrdit, že FW ve Win 7 není vůbec špatný ([Win] + [R] - firewall.cpl - [Enter] - základní nastavení, wf.msc - pokročilé, resmon.exe - síťová aktivita) a měnit ho netřeba. Z FW třetích stran mám dobré zkušenosti s Comodo FW (CIS).

Zkusil bych toto:
- na okamžik vypnout FW - zkusit se připojit na server přes FTP - když to nepůjde, máš špatně nakonfigurované FTP připojení (pomoc hledej na webu poskytovatele, v jeho návodech) - pokud to půjde, hledej problém ve svém připojení (FW asi)
- Win FW nech zapnutý a pro pokročilá nastavení si případně vygoogli návod a orientuj se podle něj
- zkus taky nejprve připojení bez SSL (jestli to vůbec jede, nezatrhnuto v TC)

[f-m]

Trošku s odstupem času se tady k tomu ještě vrátím.

Problém se mi podařilo na to jedno použití vyřešit, každopádně bych rád věděl, kde je chyba, že to nefunguje normálně. Později se chystám ftp používat častěji, tak bych rád měl v tom jasno.

Pomohlo totiž až zaškrtnutí volby "Použít pasivní režim přenosu (jako www browser)". Takže nevím, jestli je chyba v tom firewallu, nebo kde?

Při prvním připojení mi windowsácký firewall vyhodil hlášku, kterou jsem ale stornoval (což možná byla chyba). Pak TC vyhazoval nějaké hlášky jako PASV atd. Potom přestal internet fungovat úplně včetně klasického webu z prohlížeče (80), kdy pomohl až restart PC.

Při dalším připojení mi Total commander pořád akorát vyhazuje nějaké hlášky jako PASV, TYPE I, STOR index.html, TYPE A, atd....

Můžete mi někdo prosím poradit, kde je chyba a jak to napravit? Firewally jsou pro mě problém a vůbec jim nerozumím, nechci ale někde povolit něco, co by mě mohlo ohrozit.