パスワードを忘れた? アカウント作成
13411822 story
インターネット

Chrome 63以降ではFTPでのアクセスに対し警告が表示されるようになる 23

ストーリー by hylom
FTPでのファイル配布はオワコン? 部門より
あるAnonymous Coward 曰く、

GoogleはHTTPページに続いて、FTP経由のリソースでも「Not secure(保護されていません)」と表示する計画だと発表した。「Google Chrome 63」以降で実施されるという(Googleの「Security-dev」グループSlashdot)。

FTP URLはセキュリティ上の問題が多いこと、先月のFTP URL利用者は0.0026%と少ないことなどが理由であるという。開発者らは、FTPでのダウンロードURL(特に実行ファイル)提供をHTTPSへ移行することを推奨するとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年09月19日 15時03分 (#3281927)

    と思ったら、ChromeはFTPS未実装だったのね・・・。
    ならHTTPS一択ですわ。

    • by Anonymous Coward

      そろそろFTPはobsoleteかそれに近い準ずる扱いにするRFCをIETFが出すべき時期だと思う

      • by Anonymous Coward on 2017年09月19日 19時54分 (#3282127)

        FTPのダメなところ

        *文字コード地獄。両方asciiなら別に問題ないが、今時そんなわけない。

        *mimeタイプを知らない。テキストとバイナリ以外の区別に興味がない。

        *lsが環境依存。ファイルリストを要求すると、lsやdirの出力をそのまま送って来るが、セマンティックなにそれななテキストだから、GUIのためのパーサを書くには全世界のlsの書式を網羅しないといけない。そんなの無理というか、ブラウザなんかに積みたくない。

        *エラー処理が……

        親コメント
        • by Anonymous Coward

          > テキストとバイナリ以外の区別に興味がない

          これを利点だと思ってる老害が通りますよっと

          #わりと本気なのでAC

          • by Anonymous Coward

            > テキストとバイナリ以外の区別に興味がない

            これを利点だと思ってる老害が通りますよっと

            #わりと本気なのでAC

            俺も老害だと思うが、バイナリ以外使いみちないだろ?
            テキスト使うとか、有りえん

        • by Anonymous Coward

          電話回線時代ですが、FTPでよかった点はFTPのサーバー間転送機能ですね。
          今は、データ接続で大抵どっちかに制限がついてるから、サーバーの組み合わせでできないこと多いし。
          (データ接続受け付けるIPか、データ接続先IPか(コントロール接続と同一IPのみの)制限付いてる)

          ブラウザでダウンロードするだけならFTPいらないですね。

      • by Anonymous Coward

        WebDAVプロトコルって、現状だと枯れているもんでしょうか。。

        • by Anonymous Coward

          subversionやCalDAVで使うくらいには枯れてるかと。
          gitはwebdavだとダメダメらしいが、何が問題かは知らん。何となくgitの問題な気はするが。

          Windowsは確かxp辺りからWebClientってサービスが既定で有効になってエクスプローラーでWebDAVアクセスできたような。
          でも8.1か10で既定で無効になったもするけれど。

          • by Anonymous Coward

            cgiとかじゃないから、リポジトリのファイル構造をそのまま提供するから必要最小限の通信が出来ず遅い&更新をトリガーとした処理も起動できない、のが問題らしい。

            でもこれ、SubversionでもHTTP/WebDAVアクセスだと遅いらしいからgit固有の問題ではなさげ。
            トリガーを仕込めるかもサーバに使うソフトウェア毎の個別対応になりそうだし、
            任意のトリガー仕込めるような柔軟なサーバを考えるなら専用プロトコル吐いたほうが良さそう…

            必要最小限の通信についてはファイル構造次第で多少は改善できるだろうけど、
            一定以上の効率改善はサーバ側のストレージ容量との非効率なトレードオフしかできんだろうな…
            クライアント側の状態に正確に対応したファイルを一々サーバ内で配置するのは色々面倒くさそう。
            サーバ内でシンボリックリンクないしハードリンクを山ほど作るってのはありなんだろうか?

            • by Anonymous Coward

              確かに想像すると凄く遅くなりそう。diffを送れば済むんだけど、だったらputじゃなくてpostでいいよね、って話じゃない?差分の取れないバイナリだけputするんならアリ。ただ、その場合も更新情報を一か所にまとめて集中管理しないと、タイムスタンプの取得だけでheadで問い合わせるならかなり無駄だね。

    • by Anonymous Coward

      FTPSとSFTPがごっちゃになる。確か、どっちかはあんまり安全じゃなかったような。

      • by Anonymous Coward

        FTPSがSSL/TLS、SFTPがSSHでしたっけ

      • by Anonymous Coward

        Portモードだかのときにデータ通信用のポートをやり取りするけど
        FWなどからは暗号化されて見えなくなるので
        全部ポート開けてあげなきゃいけなかったんじゃなかったかな?
        # 頑張っても範囲絞るくらいだったような・・・

        FTP滅びろ

      • by Anonymous Coward

        あ、違うものだったんだ。

      • by Anonymous Coward

        SFTPはPKIじゃないのでサーバ鍵のフィンガープリントの確認を自前でやる必要があって、それを疎かにするなら安全であないですね。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...