2016-10-26 15 views
0

SSL証明書を使用してWebブラウザとサーバー間で1つの要求/応答で疑いがあります。ユーザー名とパスワードを使用したHTMLファイルのSSLとFTP URL

<a href="ftp://theftpserver.com/files/acounts.pdf">Download file</a> 
:サーバは、例えば、FTPで一つのファイルにアクセスして(彼/彼女のブラウザで)ユーザーにHTMLを応答することを

私がしたい:、以下のケース(similar question here)を想像してください。

匿名ユーザーでアクセスすると、このファイルへのアクセスに問題は発生しませんが、ユーザー名とパスワードでアクセスできる場合は、HTMLに入力しても安全ではありません。例:

<a href="ftp://username:[email protected]/files/acounts.pdf">Download file</a> 

このユーザー名でこの応答がサーバーとユーザーの間のパスワードタグは「誰か」によってキャッチされ、ユーザーのユーザー名とパスワードが取得されます。

SSL証明書はこれを解決できますか?または、これを行う最善の方法は、ユーザー名とパスワードを持つディレクトリを読み取りプロパティでのみ作成することです。

答えて

1

はい、SSLを使用すると、サーバーとの通信が暗号化されるため、SSLがより安全になります。あなたのフロントエンドからのリクエストを受け取り、FTPサーバーに連絡し、ファイルを取得し、それに応答するWebサーバー(例えばAPIエンドポイント)を持っている方が良いでしょう。この方法では、フロントエンドはFTPサーバーについて知る必要はありません。別の良いアイデアは、パスワードを送信する前にハッシュすることです。

+0

送信前にパスワードをハッシュし、FTP経由で接続するために後で使用することは可能ですか?パスワードをハッシュして送る前に私にもっと教えていただけますか?ありがとう – amelian

+0

@ amelian、私はFTPSサーバ(FTP over SSL)を持っており、Steffenは言うとおり、ブラウザ経由でアクセスすることはできません。 Filezillaのようなものが必要です。ハッシングは、パスワードを含むHTTP要求を送信する場合にも適用されます。 – Mahdi

1

SSL(つまりHTTPS)でパスワードを含むページを表示すると、ページ内のパスワードを保護するのに役立ちます。しかし、あなたが提供するリンクはFTPサイト用で、ftp://自体がSSLを使用していないので、ユーザーがFTPリンクをたどった場合、パスワードは保護されずに送信されます。 SSL(FTPS)付きのFTPがありますが、ブラウザでは一般的に実装されていないため、使用できません。 FTPの代わりにHTTPSでファイルを提供するのが最善の方法です。

+0

面白いコミュニケーション。問題は**処理中にFTPを使用する可能性があることです**。このプロトコルではアクセスをブロックできません。 – amelian

+1

@amelian:あなたが盗聴を恐れているのでHTMLページにSSLを使用すると、おそらく 'ftp://'リンクへのアクセスのために盗聴する恐れがあります。このような状況では、他の攻撃が最初の攻撃と同じくらい効果的で簡単な場合には、攻撃に対してのみ自分自身を保護することは意味がありません。 –

関連する問題