Il protocollo FTP (File Transfer Protocol) ha festeggiato il proprio quarantesimo compleanno poco tempo fa: si tratta di uno dei primi definiti e la sua origine risale al 1971. Certo, potremmo facilmente definirlo preistorico e chiudere la questione, ma c’è qualcosa di cui vale la pena riflettere.
L’Economist ha pubblicato un articolo che analizza la questione dell’FTP, partendo proprio dalla sua origine. Nel 1971 internet ancora non esisteva, era qualcosa da fantascienza; c’era ARPANET e la necessità di trasferire dati da un computer all’altro. In quel momento i computer erano talmente pochi che gli indirizzi erano segnati su una lista che veniva aggiornata, l’Economist arriva addirittura a dire che quasi tutte le persone di quella rete si conoscevano almeno di vista. Un alto grado di fiducia ha portato ad un protocollo oggi insicuro.
In generale, il modo con cui la sicurezza è aumentata, ha percorso due strade. Da un lato, l’evoluzione degli standard Internet ha portato costantemente a correzioni e innovazioni, dall’altro i programmi hanno ovviamente fatto tesoro dei miglioramenti. Nel caso dell’FTP, nel corso degli anni sono state fatte alcune proposte di aggiornamento o come alternativa (SFTP, FTPS, e FTP-over-SSH) ma nessuno di questi ha prevalso come standard. Alternative scomode da usare, difficili da implementare o semplicemente da “capire” per utenti il cui unico bisogno è quello di trasferire file in maniera rapida.
Uno dei problemi noti, è che quando si usa l’FTP, il protocollo invia nome utente e password senza alcuna criptazione. A questo punto è facile immagine come, oggi, sia possibile arrivare a quelle informazioni tramite una rete wifi aperta o poco protetta, piuttosto che in reti cablate con pc ad uso di più persone, come gli internet point, tanto per fare un esempio facile. Se poi l’utenza FTP corrisponde a quella con cui viene gestito un sito web, è ancora più immediato comprendere il rischio che corriamo, senza aver commesso alcun tipo di “imprudenza”. La questione dell’insicurezza dell’FTP è talmente nota, che tra i big di internet nessuno lo utilizza. Tanto per fare un esempio, Blogger.com ha sospeso il supporto FTP lo scorso anno.
Certo, rimangono alcuni campi dove la sicurezza potrebbe anche non essere così fondamentale. Spesso vengono aperti account FTP temporanei, se non addirittura “collettivi” per lo scambio di informazioni non sensibili. Ne sappiamo qualcosa anche noi di Blogo, quando abbiamo la possibilità di scaricare comunicati stampa particolarmente pesanti in termini di megabyte, oppure servizi fotografici altrettanto ingombranti. Se anche qualcuno dovesse accedervi, il danno non sarebbe così grave.
Sia chiaro, nessuno vuole affermare che un protocollo come l’FTP sia inutile, perchè magari soppiantato della possibilità di inviare email con allegati o perchè esistono sistemi di trasferimento file via web. Che però sia arrivato il momento di dire addio ad un protocollo scritto nel 1971, per uno più moderno, sicuro ed affidabile, questo è un altro discorso e allora si, ci sentiamo di dare ragione all’Economist.
Seguici
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
UnoQualunque
09 mag 2011 - 10:53 - #1Proprio la settimana scorsa ho litigato per questo motivo con un collega. Voleva che gli installassi FTP nel server, ma mi sono rifiutato.
A che serve FTP quando abbiamo già SSH? Basta usare SFTP (FTP over SSH), e si risparmia anche un demone!!
carletto_8512
09 mag 2011 - 11:45 - #2Non sono d’accordo. E’ un analisi fatta troppo frettolosamente! FTPS, SFTP cosi come tutte le varianti sono ampiamente standardizzate (vedi le varie RFC) e non si può parlare di “insicurezza” se non si contestualizza!
Infatti basti pensare che l’utilizzo di FTPS (over TLS) è ugualmente sicuro ad utilizzare HTTPS in un comune browser (le criticità sono le stesse, attacco Man-in-the-Middle compreso)!
Non solo ma oggi è possibile in tutta semplicità configurare i comuni server FTP per accettare connessioni solo over SSL/TLS risolvendo ampiamente il problema. Non credo che sia più complesso di generare (e fidarsi di) due chiavi RSA per utilizzare SSH.
Ma The Econimist non aveva nient’altro di cui occuparsi??
cianoz
09 mag 2011 - 11:55 - #3Molto bene aboliamo l’FTP. Ma da nessuna parte nell’articolo si parla delle alternative. E’ relativamente semplice dire che una cosa non va bene, ma l’alternativa?
Personalmente le alternative le conosco ma non si sembra che un articolo come questo dia un contributo di qualche tipo.
IAndI
09 mag 2011 - 12:14 - #4quoto cianoz e magari finiamola di utilizzare il “piuttosto che ” come disgiuntivo, esistono le “o” che adempiono a questo compito.
ice
09 mag 2011 - 15:47 - #5il problema di FTP non è tnatola sicurezza (risolta con FTPS), ma piuttosto il fato di usare una seconda porta dinamica
questo crea un sacco di rogne lato firewall
se quensto è un problema aggirabile se da ambo le parti ci sono dei ced, diventa molto piu critico quando sopratutto a chi deve fornire un servizio al resto dle mondo…utenti che magari sono in mobilità e oggi si connettono dall’ufficio, domani dal proxy della connessione di un hotel all’estero o con una connesisone umts nattata
.
per uqesto molto meglio webdav
cmq sia ci sonomolti progetti (in primis la stessa Google) per implementarein HTML5 soluzioni di trasferimento file che prevedano la gestionee sincronizzazione di alberi di directory e il resume
esaone
10 mag 2011 - 08:56 - #6Ftp in una rete interna va benissimo (ma anche esterna se uso una vpn), quando entriamo nella nuvola di internet sarebbe meglio utilizzare sempre protocolli sicuri e criptati…però per questo non vedo perchè devo far andare più piano un mio trasferimento interno e criptarlo senza un vantaggio concreto, Ftp è un alternativa, con questo ragionamento aboliamo tutti i protocolli non criptati…anche l’HTTP.