FTP vs SFTP

De veiligheid en onveiligheid van FTP vs SFTP zit 'm niet in waar je bij kunt maar in de crypto. Als jij niet bang bent voor iemand die je wachtwoord en data afluistert (m.a.w., de files zijn niet zo boeiend en je gebruikt dat wachtwoord nergens anders) dan is FTP niet *praktisch* onveiliger dan watdanook.

Overigens: FTP bestaat ook in een secure variant, net als http: ftps. Wellicht ondersteunt je webding dat ook gewoon.

[ Voor 17% gewijzigd door CyBeR op 03-03-2015 18:47 ]

Maar dus alleen als je dat wachtwoord nergens anders gebruikt en er ook geen anderen zijn die dat misschien wel doen. Probeer (kale) FTP zo veel mogelijk te vermijden, dan zit je ook goed voor de toekomst.

Eigenlijk gewoon altijd streven naar SFTP, als je echt 100% afhankelijk bent van de web-clients dan is het niet anders. Maarja, als het alleen films zijn bijvoorbeeld maakt het natuurlijk geen **** uit. Maar toch, je file transfers gaan onversleuteld over het net, dus als het veiliger kan, altijd het veiligere gebruiken

Chrooted SFTP via SSH keys of anders een OpenVPN setup.

Is WebDAV geen optie in je NAS?

The Milkman schreef op woensdag 04 maart 2015 @ 00:18:
Is WebDAV geen optie in je NAS?

Als het alleen maar verkeer tussen je "eigen" spullen betreft kun je er zelfs iSCSI voor gebruiken, maar dan moet dat uiteraard wel ondersteunt worden door het NAS.

TVH7 schreef op woensdag 04 maart 2015 @ 00:09:
Eigenlijk gewoon altijd streven naar SFTP, als je echt 100% afhankelijk bent van de web-clients dan is het niet anders. Maarja, als het alleen films zijn bijvoorbeeld maakt het natuurlijk geen **** uit. Maar toch, je file transfers gaan onversleuteld over het net, dus als het veiliger kan, altijd het veiligere gebruiken

Dat begrijp ik allemaal wel. Maar wat is het advies als de verbinding alleen maar ftp ondersteunt? Bij menige host lukt het gewoon niet om verbinding te maken als je het met sftp probeert. Heeft dan de webeditor/filemanager die ze als alternatief bieden de voorkeur? Op zich natuurlijk geen bezwaar, kwestie van even wennen, we hebben dat in het verleen vaker gedaan bij een toen nog gratis host die geen ftp ondersteunde. Dus toen moesten we wel. Maar wij vinden het bijhouden van de betreffende website door middel van ftp gewoon wat vlotter en gemakkelijker, dus toen dit bij die site wel kon zijn we hier toch naar overgestapt.

Dr_Dirk schreef op vrijdag 06 maart 2015 @ 11:21:
VPN doet niet veel goeds met de snelheid, is het niet?

Ik ga dat WebDAV eens proberen, ik heb een synology met DSM 5.1, dus WebDAV is zo aangeklikt! Thanks voor de input mensen!

Een goed opgebouwde VPN oplossing veranderd weinig aan de snelheid maar als je met een router werkt waar bijvoorbeeld een (simpel) ATOM processor(tje) in zit dan kun je inderdaad wel eens tegen de limiet van je VPN endpoint aan gaan lopen. (Dat "kreng" moet/mag alles gaan decrypten vanuit de tunnel voordat je iSCI target het "gaat snappen").

Techneut schreef op vrijdag 06 maart 2015 @ 18:14:
Maar wat is het advies als de verbinding alleen maar ftp ondersteunt?

Het advies is wegwezen. Wat is het advies als je huisbaas sex verwacht? Wat is het advies als je baas verwacht dat je iedere dag 12 uur werkt? Wat is het advies als je klant verwacht dat je voor tien euro twintig uur gaat werken? Opvoeden of wegwezen, mooier kan ik het niet makewn.

Dat is natuurlijk wel heel radicaal. Want menige host, zelfs professionele zoals die van KPN waar je dik voor betaalt ondersteunt nog geen sftp. Het speelt dus niet enkel met goedkope flut-aanbieders. Het advies "wegwezen" omdat sftp niet mogelijk is zou als het letterlijk moet worden opgevat betekenen dat een zeer groot aandeel van de webhosting verdwijnt. Ik zie dat nog niet zo gauw gebeuren.

Uiteraard is dan bij de meesten wel het werken met de webeditor mogelijk. Ik ben zo vrij om dat "wegwezen" dan ook te vertalen in voortaan geen ftp meer te gebruiken, maar daarvoor in de plaats de webeditor. Even wennen, maar verder niet echt een onoverkomelijk bezwaar.
Leidt me wel tot de vraag waar nou eigenlijk dat veiligheidsrisico ligt. Want die verbindingsmogelijkheid via gewone ftp schakel je er niet mee uit. Ook niet via het configuratiescherm of hoe dat van geval tot geval ook mag heten. Want ook dat is te kraken, waarna een kraker vrolijk de gelegenheid heeft om z'n eigen wachtwoord in te stellen, al dan niet alsnog met ftp. Immers letterlijk alles kan gekraakt worden. Ik denk dan ook dat er met die onveilige verbinding wat anders wordt bedoeld.

Begrijp me goed, ik trek deze zaken niet in twijfel, ik ben alleen maar nieuwsgierig. Waar schuilt nou eigenlijk dat veiligheidsrisico, alleen maar tijdens het gebruik van de slecht beveiligde verbinding? Ik kan alles samengevat eigenlijk niets anders bedenken.

Het hoeft niet sftp te zijn, ftps mag ook, of scp, https of nog een ander veilig protocol.
Wie nu nog het onveilige FTP aan biedt heeft z'n prioriteiten verkeerd liggen. Dat een aanbieder groot en/of duur is betekent nog niet dat het kwaliteit is. Bij de meeste aanbieders is de kwaliteit ook gewoon heel erg laag. Ze komen er mee weg om dat de klanten/gebruikers/programmeurs ook niet weten wat ze doen.
Een webeditor is leuk voor een kleine amateur maar als professionele ontwikkelaar/beheerder heb je er niet veel aan.
Als een bedrijf ook nog klassiek FTP aanbiedt omdat de klanten dat nu eenmaal verlangen kan ik het nog een beetje begrijpen maar als dat de enige manier is dan vind ik dat niet acceptabel.

Het probleem met FTP is dat er geen encryptie in zit. Iedereen die je verkeer kan onderscheppen kan je wachtwoord zien. Het onderscheppen van verkeer lijkt misschien ingewikkeld maar in praktijk is dat nogal eenvoudig. Iedereen die met z'n laptop in de trein of in de starbucks gaat zitten kan mee luisteren. Je kan zeggen dat je dan maar niet vanuit de trein moet gaan FTP'en maar mensen denken daar niet over na. Dat moet ook niet nodig zijn want de meeste mensen hebben niet de juiste achtergrond om goede beslissingen te nemen over veiligheid. Daarom moeten moderne communicatieprotocollen de veiligheid hebben ingebouwd.

Je hebt gelijk dat alles te kraken is maar met FTP maak je het wel heel gemakkelijk, dat is het digitale equivalent van de sleutel onder de deurmat leggen.

Oké duidelijk, maar wat is dan behalve dat nogal rigoureuze "wegwezen", want dan kunnen we bijna overal wel ophouden, het alternatief? Overigens gebruiken wij deze activiteit letterlijk nooit onderweg, ook niet elders, maar zonder uitzondering alleen maar thuis in een netwerk. met zoals ik vermeldde met voldoend moeilijke wachtwoorden en zonder wifi. Juist dat risico van afluisteren is ondank alle veiligheidsprotocollen waarvan ik weet dat ze er zijn reden om dat ook niet te willen. Dat gevaar van afluisteren is daardoor al een stuk minder. Maar goed, dat even terzijde.

Elke host heeft als alternatief een configuratiescherm, webhosting of hoe ze dit ook maar noemen. De mogelijkheid om daar aan je website te werken ken ik al heel lang en deze noem ik gemakshalve webeditor. Tot nu toe zijn dit samen met ftp de opties waarmee we allebei al heel lang vertrouwd zijn. Ik krijg hier de indruk dat er naast die twee nog een derde mogelijkheid is. Of versta ik een en ander nu verkeerd?

En met onderstaand antwoord: "dan moet je gewoon sftp gebruiken" is het cirkeltje weer rond.

[ Voor 4% gewijzigd door Techneut op 07-03-2015 16:49 ]

Er zijn mogelijkheden, maar die zijn dus afhankelijk van de aanbieder, behalve als je zelf de aanbieder bent, maar dan moet je gewoon sftp gebruiken.

Techneut schreef op zaterdag 07 maart 2015 @ 16:43:
Oké duidelijk, maar wat is dan behalve dat nogal rigoureuze "wegwezen", want dan kunnen we bijna overal wel ophouden, het alternatief?

ftps, sftp, scp, rsync, https/webdav, sshfs. Protocollen genoeg en er zijn ook meer dan voldoende aanbieders die wel veilige protocollen gebruiken. Het klopt dat er ook een heleboel zijn die dat niet doen maar helaas is dat niet uitzonderlijk. Er zijn ook meer slechte snackbars dan goede restaurants.

Overigens gebruiken wij deze activiteit letterlijk nooit onderweg, ook niet elders, maar zonder uitzondering alleen maar thuis in een netwerk.

Tot op een dag een boze klant belt met een probleem dat onmiddelijk moet worden opgelost. Dan wordt er gekozen om toch maar even de klant te helpen via het (onveilige) wifi-netwerk van de camping. Anders is er wel een developer die vergeet dat z'n FTP-client automatisc reconnect die z'n laptop openklapt bij de McDonalds.

Het is de wet van Murphy. Als het mogelijk is zal het vroeg of laat gedaan worden, opzettelijk of per ongeluk.

met zoals ik vermeldde met voldoend moeilijke wachtwoorden en zonder wifi.

Dat je een moeilijk wachtwoord gebruikt maakt niks uit als het wordt afgeluisterd.

Wederom duidelijk, en opnieuw betekent dit voor ons afstrepen van een paar gevaren. Al deze risico's zijn voor ons niet van toepassing. Wij werken bovendien niet voor klanten, maar alleen als hobby voor privé en als vrijwilligers waar we de site zelf hebben ontworpen, mijn vrouw voor het creatieve, ik waar nodig voor de techniek en we zijn de enigen die er in kunnen komen. Op die manier beoefenen we deze activiteit al 15 jaar zonder enig probleem.

Ik vrees dat het een buitengewoon moeilijke zoektocht wordt voor ons om een aanbieder te vinden die echt aan alle eisen in dit opzicht te voldoet, maar ik zie voorlopig ook geen reden om die zoektocht te ondernemen

CAPSLOCK2000 schreef op zaterdag 07 maart 2015 @ 15:45:
Wie nu nog het onveilige FTP aan biedt heeft z'n prioriteiten verkeerd liggen.

Kunnen we ophouden met die onzinnige Kruistocht Tegen FTP die hier aan de gang is? Als een aanbieder een overweging heeft gemaakt en bij FTP uitgekomen is als de beste optie, om welke reden dan ook, dan is dat hun goed recht.

Is 't netjes om ook FTPs aan te bieden? Ja. Moet 't? Nee.

CyBeR schreef op zaterdag 07 maart 2015 @ 18:04:
[...]


Kunnen we ophouden met die onzinnige Kruistocht Tegen FTP die hier aan de gang is? Als een aanbieder een overweging heeft gemaakt en bij FTP uitgekomen is als de beste optie, om welke reden dan ook, dan is dat hun goed recht.

Is 't netjes om ook FTPs aan te bieden? Ja. Moet 't? Nee.

Kan het gewoon zo zijn dat wij het 'niet goed' vinden dat er persoonsgegevens in gevaar kunnen worden gebracht door mensen die niet genoeg kennis van zaken hebben FTP gaan staan gebruiken, vervolgens afgetapt worden en tadaa, daar liggen mijn persoonsgegevens op straat. Natuurlijk gaat dit niet op over een simpele website van de plaatselijke schaakvereniging die de alleen de wedstrijden online zet, maar toch denk ik niet dat de schaakvereniging het leuk zou vinden als de website veranderd in een promotie site van IS, omdat 'Piet' in de trein zich verveelde.

Dus moet 't, dat weet ik niet moeten we eens gaan vragen aan het CBP. Is het verschrikkelijk onverstandig en eigenlijk niet meer van deze tijd? Ja.

Techneut schreef op zaterdag 07 maart 2015 @ 18:00:
Wederom duidelijk, en opnieuw betekent dit voor ons afstrepen van een paar gevaren. Al deze risico's zijn voor ons niet van toepassing. Wij werken bovendien niet voor klanten, maar alleen als hobby voor privé en als vrijwilligers waar we de site zelf hebben ontworpen, mijn vrouw voor het creatieve, ik waar nodig voor de techniek en we zijn de enigen die er in kunnen komen. Op die manier beoefenen we deze activiteit al 15 jaar zonder enig probleem.

Ik vrees dat het een buitengewoon moeilijke zoektocht wordt voor ons om een aanbieder te vinden die echt aan alle eisen in dit opzicht te voldoet, maar ik zie voorlopig ook geen reden om die zoektocht te ondernemen

Het is je eigen keuze, doe wat je niet laten kan. Maar ik raad het je af, simpel.

[ Voor 3% gewijzigd door TVH7 op 07-03-2015 18:29 ]

TVH7 schreef op zaterdag 07 maart 2015 @ 18:28:
[...]


Kan het gewoon zo zijn dat wij het 'niet goed' vinden dat er persoonsgegevens in gevaar kunnen worden gebracht

Niemand heeft 't over persoonsgegevens gehad. D'r worden hier allerlei zaken aan de haren bijgesleept die helemaal niks met de vraag van TS te maken hebben.

CyBeR schreef op zaterdag 07 maart 2015 @ 18:04:
Kunnen we ophouden met die onzinnige Kruistocht Tegen FTP die hier aan de gang is? Als een aanbieder een overweging heeft gemaakt en bij FTP uitgekomen is als de beste optie, om welke reden dan ook, dan is dat hun goed recht.

Nee, unencrypted FTP moet weg. In vrijwel alle gevallen wordt het gebruikt door mensen die niet zelf kunnen beoordelen wat veilig is en die er op rekenen dat de aanbieder voor de veiligheid zorgt. Dat is misschien dom en naief van de gebruikers maar dat is nu eenmaal zo. Als aanbieder heb je een zorgplicht ten opzichte van je gebruikers. Veilige protocollen horen daar ook bij. Er is maar zelden een goede reden om ouderwetse FTP te gebruiken. Als je een auto koopt mag je ook verwachten dat er degelijke gordels en airbags in zitten. Het gebruik daarvan is zelfs wettelijk verplicht. Daarbij verwachten we ook niet dat de gebruiker zelf een redelijke afweging maakt omdat we weten dat het in praktijk te vaak verkeerd gaat als we het vrijblijvend maken.

CyBeR schreef op zaterdag 07 maart 2015 @ 18:36:
[...]


Niemand heeft 't over persoonsgegevens gehad. D'r worden hier allerlei zaken aan de haren bijgesleept die helemaal niks met de vraag van TS te maken hebben.

Er wordt advies gegeven over het gebruik van FTP(S)/SFTP. Dat ik daar als voorbeeld persoonsgegevens bij haal om te reageren op je bericht is volgens mij niet zo vreemd. Het gaat hier over web-bestanden, daar kunnen persoonsgegevens in staan, dat dat niet het geval hoeft te zijn gaf ik al aan in mijn bericht.

[ Voor 15% gewijzigd door TVH7 op 07-03-2015 20:55 ]

Je hebt een syno.. waarom dan geen dsfile over https ?