miércoles, 28 de noviembre de 2018

FTP


FTP es un protocolo de transferencia de archivos viejo, muy viejo, y a pesar de que es muy eficiente en lo que hace, no es seguro. Al igual que HTTP, no tiene cifrado por defecto. De ahí que los desarrolladores de Chrome vengan queriendo eliminar el soporte para él desde hace años.

Actualmente es posible visualizar archivos de un servidor FTP directamente en Google Chrome, pero pronto no lo será. Un cambio que planea el equipo de desarrolladores de Chrome es que a partir de ahora el navegador ya no tenga que renderizar imágenes ni otro tipo de archivos ubicados en una dirección ftp:// y que en cambio el archivo sea descargado.

El siguiente paso es eliminar por completo el soporte para FTP, que como apuntan en Bleeping Computer, es un cambio que los desarrolladores de Chrome llevan más de 4 años intentando promover debido al poco uso que se hace de la función.

Casi nadie navega por direcciones FTP y representan una superficie vulnerable a ataques para el navegador

La gigantesca mayoría de las personas no utilizan direcciones ftp:// en su día a día (en 2014 los números indicaban que solo entre el 1-2% de los usuarios navegaban por direcciones FTP), y quienes acceden con frecuencia a servidores FTP tienen la alternativa superior de usar un cliente FTP dedicado en lugar de la ventana del navegador. Pero además de esto está el detalle de la seguridad:

Tanto la visualización como la descarga de archivos FTP a través de Chrome añaden una superficie de ataque adicional que el navegador no puede proteger adecuadamente en comparación con ofrecer los mismos archivos a través de una conexión HTTPS
.
Soportar FTP directamente en el navegador es exponerse innecesariamente a una vulnerabilidad


Los mismos desarrolladores lo explican en una conversación, "FTP es un protocolo de legado no asegurable", pero dado que su uso es apenas lo suficientemente alto como para que resulte difícil eliminarlo del todo de una vez, la solución razonable para reducir su viabilidad como un medio de ataque es dejar de renderizar los archivos en el navegador y en su lugar descargarlos, es un paso adelante hasta que lo pueden eliminar definitivamente.

En Mozilla parecen tener la misma idea en mente, y de hecho dicen tener "planes imprecisos" para eliminar el soporte a FTP por completo en Firefox puesto que no tiene sentido seguir añadiendo más código en esa área. Si se termina haciendo se reduciría la complejidad del código de los navegadores y probablemente muchos otros les seguirían los pasos.

No hay comentarios.:

Publicar un comentario