image

Mozilla gaat ftp-protocol deels blokkeren in Firefox 61

dinsdag 8 mei 2018, 11:18 door Redactie, 15 reacties

Mozilla gaat het ftp-protocol deels in Firefox 61 blokkeren, zo heeft de opensource-ontwikkelaar aangekondigd. Ftp (File Transfer Protocol) is een protocol om, zoals de volledige naam al doet vermoeden, bestanden van de ene naar de andere computer te kopiëren. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Inloggegevens worden als platte tekst naar de ftp-server verstuurd.

"Het fundamentele onderliggende probleem met ftp is dat alle data onversleuteld wordt uitgewisseld en in platte tekst verstuurd, waardoor aanvallers de verstuurde data kunnen stelen, spoofen en zelfs aanpassen. Veel malware-campagnes maken gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers", aldus Mozillas Christoph Kerschbaumer.

Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Firefox 61 staat gepland voor 26 juni van dit jaar. Eind vorig jaar kondigde Google al aan dat Chrome ftp-locaties als "niet veilig" gaat weergeven.

Reacties (15)
08-05-2018, 11:20 door karma4
sftp is ook een ftp. De afkorting FTP is File Transfer Protocol, die gewenste functionaliteit veranderd niet.
08-05-2018, 12:04 door -karma4 - Bijgewerkt: 08-05-2018, 12:06
Door karma4: sftp is ook een ftp. De afkorting FTP is File Transfer Protocol, die gewenste functionaliteit veranderd niet.

En hoe ga je sftp in de Firefox browser benaderen? Bovendien is SFTP helemaal geen FTP. Het is een uitbreiding van SSH die men voor het gemak (...) maar SFTP heeft genoemd. Je verwart met FTP(E)S, dat FTP over SSL is.
08-05-2018, 12:14 door Anoniem
Door karma4: sftp is ook een ftp. De afkorting FTP is File Transfer Protocol, die gewenste functionaliteit veranderd niet.
Dit gaat over resources die bij een webpagina horen die met FTP in plaats van HTTP of HTTPS geladen worden, niet over een link naar iets om te downloaden. Een subresource kan ook met HTTP(S) geladen worden.

Of bedoelde je met SFTP FTP over SSH? Dat heet FTPS. SFTP staat voor SSH File Transfer Protocol, iets dat ik niet zo snel voor subresources van webpagina's gebruikt zie worden.
08-05-2018, 12:20 door karma4 - Bijgewerkt: 08-05-2018, 12:44
Door The FOSS: En hoe ga je sftp in de Firefox browser benaderen? Bovendien is SFTP helemaal geen FTP. Het is een uitbreiding van SSH die men voor het gemak (...) maar SFTP heeft genoemd. Je verwart met FTP(E)S, dat FTP over SSL is.
Waarom een browser met (s)ftp dan wel html. Als je FTP gebruikt op en prosessionele manier kun je beter voor MFT gaan.
https://www.itcentralstation.com/categories/managed-file-transfer Zoveel leveranciers en tools die gaan echt niet ieder voor zich een eigen protocol bouwen.
Je moet eens met een veelheid van https://www.ssh.com/ssh/sftp/ Het is niet voor niets dat de File Transfer Functionaliteit zo veel op elkaar lijkt.

Dat nerd geneuzel met woordjes: mijn versie gebruikt dat woordje en jouw versie mag dat woordje niet gebruiken is kolderiek. Het gaat om de functionaliteit. Breng bestand ... over van .... naar ... . (vul maar in).

Anoniem 12:14 zoals je aangeeft en meerdere wegen om die functionaliteit te bereiken. Dan je.
Waarom ik me dan druk maak? Omdat FTP vaak gebruikt wordt om de functionaliteit aan te duiden. Verzand je met techneuten in een gedoe dat er niets meer voor elkaar te krijgen is.
08-05-2018, 13:46 door Briolet - Bijgewerkt: 08-05-2018, 13:49
Door karma4:Dat nerd geneuzel met woordjes: mijn versie gebruikt dat woordje en jouw versie mag dat woordje niet gebruiken is kolderiek. Het gaat om de functionaliteit. Breng bestand ... over van .... naar ... . (vul maar in).

Geen geneuzel met woorden. Het zijn principieel verschillende protocollen. Ook met http kun je files downloaden. dat verschil met ftp is misschien kleiner dan met sftp, alleen lijken de afkortingen meer op elkaar.

Wat ik in het Mozilla verhaal mis is waarom ftp geblokkeerd wordt en http niet. Die data kun je toch ook spoofen en stelen? Als het alleen geblokkeerd wordt bij een https pagina, kon ik het nog begrijpen, maar ze doen het ook bij een http pagina, gezien de foutmelding: "within http(s) pages not allowed"
08-05-2018, 14:20 door Anoniem
Dat nerd geneuzel met woordjes: mijn versie gebruikt dat woordje en jouw versie mag dat woordje niet gebruiken is kolderiek

Je reactie is nogal lachwekkend. En dat mensen vaktermen gebruiken, is vrij normaal. Ga je artsen, die medische termen gebruiken, ook belachelijk maken ? ;)
08-05-2018, 14:28 door Anoniem
Door karma4: sftp is ook een ftp. De afkorting FTP is File Transfer Protocol, die gewenste functionaliteit veranderd niet.
Volgens mij benje in de war met FTPS (de Secure versie van FTP), zoals andere ook al melden is SFTP een uitbrijding op SSH (Secure SHell File Transfer Protocol).

Er is ook een SFTP protocol die echt FTP is, die is echter niet secure maar simple (Simple File Transfer Protocol)

SFTP is een compleet ander protocol van FTP (ondanks dat het dezelfde soort functionaliteit implementeerd). Het is ook losd van FTP ontwikkeld.
08-05-2018, 15:01 door -karma4 - Bijgewerkt: 08-05-2018, 15:04
Door karma4: Dat nerd geneuzel met woordjes: mijn versie gebruikt dat woordje en jouw versie mag dat woordje niet gebruiken is kolderiek. Het gaat om de functionaliteit. Breng bestand ... over van .... naar ... . (vul maar in).

Nou nee, in dit geval gaat het specifiek om (het deels blokkeren van) het FTP-protocol. Dat dit gebruikt wordt om bestanden uit te wisselen is in deze discussie van secundair belang.

Door karma4: Anoniem 12:14 zoals je aangeeft en meerdere wegen om die functionaliteit te bereiken. Dan je.
Waarom ik me dan druk maak? Omdat FTP vaak gebruikt wordt om de functionaliteit aan te duiden. Verzand je met techneuten in een gedoe dat er niets meer voor elkaar te krijgen is.

Als bovenstaande reactie kenmerkend is voor het niveau van jouw communicatie met 'techneuten', dan snap ik waarom er in jouw omgeving niets meer voor elkaar is te krijgen.
08-05-2018, 15:53 door Anoniem
Mozilla gaat FTP in HTTP(S) blocken, "Blocking FTP subresource loads within non-FTP documents in Firefox 61", omdat dit als onveilig wordt aangeduid. Dus ze gaan geen FTP block invoeren.

sFTP is SSH FTP over poort 22
FTPs Implicit is FTP over TLS/SSL (standaard)poort 990 met een set van communicatiepoorten welke gedefineerd dienen te worden.
FTPs Explicit is FTP over TLS/SSL (standaard)poort 21 (secure FTP)

En ja, over de toepassingen kan je eindeloos discussiëren, helaas is het zo dat er veel applicaties slechts over FTP kunnen communiceren, misschien dat dit deze ontwikkelaars wakker schudt.

Ps... een browser gebruiken voor FTP..... het kan ;)
08-05-2018, 18:23 door Anoniem
Heel goed bezig Mozilla! Vooral zo doorgaan met nuttige functionaliteit eruitgooien om nog meer ruimte voor bloat te maken.

Wat is er nu mis met FTP binnen een LAN of als public download server. FTP presteert veel beter als HTTP.
08-05-2018, 19:09 door -karma4 - Bijgewerkt: 08-05-2018, 19:11
Door Anoniem: Ps... een browser gebruiken voor FTP..... het kan ;)

Ja, tuurlijk... Gewoon ftp:// gebruiken. Maar sftp:// wordt dan weer niet ondersteund. Helaas.
08-05-2018, 21:54 door Anoniem
Nu nog http(s) ondersteuning eruit halen en we hebben een browser die heel veel kan, behalve dat waar ie voor bedoeld is.
08-05-2018, 22:41 door Anoniem
Gelukkig kent niet ieder de gangbare protocol bugs en errors, want dan wordt het pas leuk in de browser. (iron.)

Er zijn drie soorten protocol aanvallen, de zogenaamde "confidentiality attack, integrity attack & availability attack".

Niet gaan hacken hoor, is illegaal, mag niet; wel beveiligen tegen hackers, die het wel mogen van staatswege (staasactors).

We zullen wel wat moeten doen om deze aanvallen steeds moeilijker te maken, al is het voor de eigen broodnodige rust en veiligheid.

Dit en het implementeren van security headers o.a. zijn goede aanzetten in die richting.

luntrus
09-05-2018, 08:22 door Anoniem
karma praat niet over techniek, dat gaat ELKE keer mis met jou. je hebt te weining kennis van de inhoud en je slaat de plank dan ook steeds mis. laat het gewoon, het is om te lachen die onzin van je.
09-05-2018, 20:24 door Anoniem
Door karma4: Dat nerd geneuzel met woordjes: mijn versie gebruikt dat woordje en jouw versie mag dat woordje niet gebruiken is kolderiek. Het gaat om de functionaliteit. Breng bestand ... over van .... naar ... . (vul maar in).
FTP heeft een control-kanaal en een datakanaal. Wist je dat het met FTP mogelijk is om vanaf een client naar twee servers een control-kanaal te openen en dan rechtstreeks tussen die servers een datakanaal te laten openen waarover de transfer plaatsvindt? Met SFTP kan dat niet. De functionaliteit overlapt maar is niet hetzelfde.

Ik vind het een beetje goedkoop van je om mensen op geneuzel met woordjes aan te vallen. Je kan ook proberen meteen duidelijk te maken wat je bedoelt. Als je met "ftp" niet het protocol dat FTP heet bedoelt maar protocollen om bestanden over te dragen in het algemeen dan kan je dat beter niet met "ftp" aanduiden omdat misverstanden dan volkomen voorspelbaar zijn. Als je je zelf wat nauwkeuriger uitdrukt, wat meer neuzelt om je eigen typering te gebruiken, roep je minder misverstanden op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.