ユーザー名とパスワードを使用したHTMLファイルのSSLとFTP URL

Question

SSL証明書を使用してWebブラウザとサーバー間で1つの要求/応答で疑いがあります。

<a href="ftp://theftpserver.com/files/acounts.pdf">Download file</a> 

：サーバは、例えば、FTPで一つのファイルにアクセスして（彼/彼女のブラウザで）ユーザーにHTMLを応答することを

私がしたい：、以下のケース（similar question here）を想像してください。

匿名ユーザーでアクセスすると、このファイルへのアクセスに問題は発生しませんが、ユーザー名とパスワードでアクセスできる場合は、HTMLに入力しても安全ではありません。例：

<a href="ftp://username:password@theftpserver.com/files/acounts.pdf">Download file</a> 

このユーザー名でこの応答がサーバーとユーザーの間のパスワードタグは「誰か」によってキャッチされ、ユーザーのユーザー名とパスワードが取得されます。

SSL証明書はこれを解決できますか？または、これを行う最善の方法は、ユーザー名とパスワードを持つディレクトリを読み取りプロパティでのみ作成することです。

Answer 1

はい、SSLを使用すると、サーバーとの通信が暗号化されるため、SSLがより安全になります。あなたのフロントエンドからのリクエストを受け取り、FTPサーバーに連絡し、ファイルを取得し、それに応答するWebサーバー（例えばAPIエンドポイント）を持っている方が良いでしょう。この方法では、フロントエンドはFTPサーバーについて知る必要はありません。別の良いアイデアは、パスワードを送信する前にハッシュすることです。

Answer 2

SSL（つまりHTTPS）でパスワードを含むページを表示すると、ページ内のパスワードを保護するのに役立ちます。しかし、あなたが提供するリンクはFTPサイト用で、ftp://自体がSSLを使用していないので、ユーザーがFTPリンクをたどった場合、パスワードは保護されずに送信されます。 SSL（FTPS）付きのFTPがありますが、ブラウザでは一般的に実装されていないため、使用できません。 FTPの代わりにHTTPSでファイルを提供するのが最善の方法です。