Vlákno názorů k článku
Jak nahradit FTP pomocí SFTP a zamknout uživatele

Administrátoři rozhodně nemají obavy z toho, že by se jim po systému potulovali uživatelé a nahlíželi, kam nemají (snad jen administrátoři-studenti).

Důvodem rozšířenosti FTP je:
1. že je to řešení dostatečné pro publikování dat a v řadě případů dostatečné i pro upload.
2. špatná dostupnost klientů jiných protokolů pro uživatele.
3. nastavení firewallů příp. proxy často nepočítá s jinými protokoly

Autor navíc zcela opomněl problématiku ověřování pravosti účastníků přenosu, která je pro mnohé uživatele složitá a řada klientů ji ani neimplementuje resp. implementuje špatně. Bez tohoto ověřování je jakékoli bezpečnostní řešení řešením jen na půl cesty.

Situaci, kdy mi druhá strana není ani telefonicky schopena potvrdit pravost serveru a to ani u komerčních subjektů jako je Česká spořitelna nebo dokonce Global Payments Europe, které jsou zodpovědné u nás za většinu karetních transakcí přes internet (v podstatě ani nevěděli, co po nich chci), považuji za dost tristní. .

A ještě bych dodal:

4) Rychlost přenosu – šifrování přece jen poněkud snižuje dosažitelnou přenosovou rychlost, a pokud mám FTP server určený pouze pro upload velkých souboru na GBit LAN (který není přístupný zvnějšku), tak mi může vadit cca poloviční až třetinová dosažitelná rychlost SFTP.

ad 4) skutecne sftp/scp neni dost dobry na gigabitu, protoze puvodne slo o bezpecnost a ne o rychlost, ale da se to resit treba takto: http://www.psc.edu/networking/projects/hpn-ssh/

Ale to je velmi zajímavé. Před pár lety jsem si říkal, kdy v open-ssh konečně upraví chování bufferů, aby se přenos souborů tak nevlekl (SCP/SFTP u mě nepřekročil 2 mega, FTP sviští co linka dovolí). A ono asi nic, musíme použít patch od někoho jiného. A dokonce je tam i patch na dodatečný server logging! Hezká stránka, díky :-).

Prave, nejvetsi problem jsou uzivatele, co tak maximalne zvladnout si najit ftp server, pres ikonku „mista v siti“. O nejakem stahovani a instalaci sftp klienta nemuze byt rec. BTW, nevite nekdo o nejake programku pod win, co by takovymto (pro BFU jednoduchym zupsobem) umel zprostredkovat i to SFTP – namountovat ho jednoduce uzivateli jako slozku?

sshfs?

Rozumeju BFU mountovaniu a nie je „jednoduche mountovanie“ nahodou oxymoron?

Sshfs neexistuje pro Widle, ale je k dispozici Dokan sshfs: http://dokan-dev.net/en/download/#sshfs

Ad 1 a ad 2: WebDAV over HTTPS umí to samé a je vestavěný i ve Windows. Protože WebDAV používá HTTPS, tak je už velmi dobře implementované i ověřování serveru pomocí HTTPS certifikátů. Jenže správně nastavit WebDAV není moc jednoduché a většina adminů spíše upřednostní svoji lenost před bezpečím uživatelských dat

Ad 3: zrovna FTP je jeden z nejhorších protokolů pro nastavoení firewallu, právě proto, že používá dva porty a navíc umí pasivní a aktivní mód, takže firewall musí zkoumat všechny FTP pakety na příkaz PORT, což je výkonově docela náročné a znemožňuje použití FTPS (v případě, že firewall je dedikovaný, což by z bezpečnostních důvodů měl být). SSH a WebDAV over HTTPS je oproti tomu pohádka

WebDAV ma ale podla mojich skusenosti problem s priamim otvorenim suboru. Windows dava hlasku o tom, ze sa nepodaril oneskoreni zapis.. Toto mnoho uzivatelov zmatie a pre mna je velkou nevyhodou WebDAVu..

WebDAV s ničím problém nemá, je to velmi dobře definovaný a standartizova­ný protokol. Problém má Micro$hit, který záměrně svoji podporu WebDAV-u przní (je to vidět mj. na tom, jak vždy WebDAV funguje nějak teprve od SP2-SP3, nová verze widlí je zmršená. Na netu se dá najít kopie mailu, který rozesílal velký DeBill někdy kolem roku 2000, ve kterým nařizuje programátorům M$, že musí WebDAV zprznit, protože je to nebezpečný protokol pro M$ :-(. Ten mail nějak unikl z onoho antimonopolního řízení proti M$ v USA před pár lety…).

To je problém implementace ve Windows a ve srovnání s implementací FTP je na tom WebDAV daleko lépe