パスワードを忘れた? アカウント作成

Mozilla、2021年初めにFirefoxのFTPサポートを削除する計画」記事へのコメント

  • FTPの最大の欠点は何かというと、ファイルのハッシュ値が変わることです。
    FTPにはアスキーモードとバイナリモードというものがありまして、バイナリデータでないアスキーデータは自動的にアスキーモードとして扱われて、JS(ジャバスクリプト)やHTMLやTXTなどのアスキーデータは改行コードがクライアントOSに合わせて自動的に書き換わる仕組みが採用されています。
    これによりファイルのハッシュ値が変わってしまうので、セキュリティを重視する現在では実用に耐えないといってもいいでしょう。

    FTPはHTTPSと違って改竄される恐れがあるので、FTPでダウンロードするときにはHTTPSのページなどに書かれたファイルのハッシュ値と比較します。(昔からダウンロードサイトにはハッシュ値を書く文化がありました。)

    JavaScriptなどのプログラムもアスキーデータですからハッシュ値が一致しないと安全性の検証ができないわけですね。

    だからこそ、もうFTPは滅びるしかないと思います。
    HTTPやHTTPSならば改行コードはそのまま転送されるので、サーバとクライアントでOSが違っても改行コード変換でハッシュ値が変化することはありません。

    ここに返信
    • by Anonymous Coward on 2020年03月21日 0時12分 (#3782641)

      バイナリモード使えば解決では?

    • 改ざんよりはダウンロード未完了等の破損の検知だな。改ざん検知ならハッシュは信頼している場所からとらないといけないからな。

      FTPがそれならHTTPもHTMLの頭のほうの文字が乳かどうかで解釈変えるような時代のクライアントは使えなかったな。

    • by Anonymous Coward

      FTPSとかなら残ってても良いのでは?とおもったけど、転送モード煩わしいから良いや…
      そもそもこれ要求するトコ、モードもデータ仕様もオレサマ常識ばかりだし。

      • by Anonymous Coward

        FTPSはTLSでラップされていてアプリケーションプロトコル中のIPアドレスをブロードバンドルーターという中間者が改ざんできないから、NAT全盛のIPv4アドレス枯渇時代にあってはPASSIVEモードじゃないと使い物にならんのだよ

        • by Anonymous Coward

          そもそもの話として、IPv6対応できてるの?という疑問すら。
          # 具体的には、RFC2428 [ietf.org]とか

    • by Anonymous Coward

      その理屈であればsmtpも滅ぶことになりそうですね。

      • by Anonymous Coward

        メールクライアントでのSMTPは、TLSに対応したSMTPSがよく使われる。
        ブラウザでTLSに対応したFTPSは使われない。

        • by Anonymous Coward

          元コメは多分暗号化の話はしてませんよ。

          ftpとかsmtpとかの古代のプロトコルは「テキストをなるべく便利にやりとりしよう」というのが設計思想にちらっと含まれていたので、
          「見た感じが同じになるよう、内容のエンコード方法を送信時に調整する」という機能が付いていて、
          送ったものがそのまま届かない可能性があるんです。
          設定が不十分なメールサーバを介すると、メール全文が文字化けする、なんてこともザラです。

          ネットワークの授業でよく出てくる(けど今時は使い道が無くて説明が難しい)「プレゼンテーション層」というのがその名残です。

          • by Anonymous Coward

            通信経路での機密性(暗号化)の話ではなく、通信経路での真正性(改竄の検知、署名の検証、ハッシュ値確認)の話。

          • by Anonymous Coward
            必要なかったり脆弱だったりする機能はそこだけ使わなければよいだけでは
            バイナリモードでファイルが化けずに転送できればほとんどの場合は済むのだから、ASCIIモードが要らないからといってFTP自体を廃止することはない。
            HTTPのPUTだのDELETだのはあまり使われないし、サーバ側の実装が悪いと脆弱性を生みがちだけど、だからと言ってHTTPを廃止しろとはならないでしょう。
    • by Anonymous Coward

      斯くして、EUC でコードされた、改行コードが/crのファイルが出来上がるですね。キメラなファイルを欲しがるとは変態ですね。
      他人からもらうデータは生のままで、自分のところにあるツールで使いやすいように変えなさいと教わらなかったのでしょうか。

      まっとうなosを使ってるならsedもnhkもあるんだから、RETRした後、自分で好きなように変えればいいのに。

      #あ、俺様が使いやすいようにテキストファイルをms word形式でよこしなさい、という類の手合いか。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...