image

Mozilla: verwijderen FTP-support brengt volledig veilig web dichterbij

dinsdag 20 juli 2021, 10:22 door Redactie, 20 reacties

Vorige week lanceerde Mozilla Firefox 90, waarmee de ondersteuning van het FTP-protocol in de browser volledig werd verwijderd. Het is niet meer mogelijk om vanuit de browser verbinding met een FTP-server te maken. Ook andere browsers hebben aangegeven de support van FTP te zullen stoppen. Volgens Mozilla brengt dit een volledig veilig web dichterbij.

Het grootste probleem met FTP is dat data onversleuteld wordt uitgewisseld, waardoor aanvallers het kunnen onderscheppen en aanpassen. Daarnaast vinden er volgens Mozilla ook aanvallen plaats waarbij FTP wordt gebruikt om malware op de systemen van gebruikers te downloaden of compromitteren aanvallers FTP-servers om daarvandaan malware te verspreiden.

"Het verwijderen van FTP brengt ons dichterbij een volledig veilig web dat alleen HTTPS gebruikt", zegt Christoph Kerschbaumer van Mozilla. Naast FTP is Mozilla ook van plan om de ondersteuning van het HTTP-procotol uit te faseren. Wanneer dit echter zal plaatsvinden is nog onbekend. Het plan hiervoor werd al meer dan zes jaar geleden aangekondigd.

Reacties (20)
20-07-2021, 10:45 door Anoniem
"Het verwijderen van FTP brengt ons dichterbij een volledig veilig web dat alleen HTTPS gebruikt"

Zodat malware voortaan alleen nog over HTTPS kan worden gedownload. Extra veilig want dan kan het ook niet meer
herkend worden in netwerk virus scanners die op een veilige manier werken. Grote stap dus, Mozilla!
20-07-2021, 10:48 door Anoniem
Want over HTTPS kan malware zichzelf niet verspreiden. Toch? De malware is in iedere geval veilig in de TLS wrapper zodat je anti-virus er niet bij kan.

En dan download je FileZilla omdat je toch nog ergens FTP voor nodig hebt en krijg je meteen een sloot potentially unwanted programs (PUPS) mee.

Mozilla heeft last van TLS-fetisj..
20-07-2021, 10:57 door Anoniem
Het zou een stunt wezen als Firefox ineens het Gemini protocol van het alternatieve parallelle web zou toevoegen onder het mom "volledig veilig web dichterbij".
Omdat er bij de markup language geen JavaScript om de hoek komt kijken, de pagina's standaard over TLS lopen, en de Hypertext gelimiteerd is tot de tekstuele content(los van links naar media).
20-07-2021, 11:00 door linuxpro
Ik vind dat niet handig. Er zijn genoeg legale sites waar oa. iso's worden aangeboden die middels FTP werken. Je hoeft er niet op te in te loggen (anonymous access) en je hebt alleen leesrechten. Ik zie het 'gevaar' hier niet van in.
20-07-2021, 11:03 door Anoniem
HTTP uitfaseren?
Ehm, hoe ga ik dan m'n localhost testjes draaien?
Voor zover ik weet kan ik geen HTTP/2 draaien
zonder TLS.
20-07-2021, 11:05 door Anoniem
Ik vind dat niet handig. Er zijn genoeg legale sites waar oa. iso's worden aangeboden die middels FTP werken. Je hoeft er niet op te in te loggen (anonymous access) en je hebt alleen leesrechten. Ik zie het 'gevaar' hier niet van in.

Zo zullen er ook genoeg legale sites zijn, die HTTP gebruiken. Moet je daarom niet richting een veiliger web ? Die sites passen zich verder echt wel aan.
20-07-2021, 11:08 door Anoniem
Er zijn nog leveranciers van hardware die FTP gebruiken voor drivers en software, zoals IBM, Fujitsu en Kontron.

Ik heb laatst nog een tijd met https verplicht gesurft, maar het aantal sites met een ongeldig certificaat of helemaal geen https is nog veel te hoog.
20-07-2021, 11:09 door Anoniem
Door linuxpro: Ik vind dat niet handig. Er zijn genoeg legale sites waar oa. iso's worden aangeboden die middels FTP werken. Je hoeft er niet op te in te loggen (anonymous access) en je hebt alleen leesrechten. Ik zie het 'gevaar' hier niet van in.

Dat kan nog altijd prima met sftp, het zijn de oude formaten die ze uitfaseren.
20-07-2021, 11:28 door Anoniem
"volledig veilig web dichterbij", iets dat niet goed uitgelegd is.

Een veilig web zou zijn:
* een web waar alle verbindingen veilig zouden zijn (dat komt nu dichterbij)
* een web waar phishing niet bestaat (wordt nu niets aan gedaan)
* een web waar websites zijn wie ze claimen te zijn (wordt nu niets aan gedaan)
* een web waar geen kwetsbaarheden in zitten (wordt nu niets aan gedaan)

Oftwel, en niet meer dan dat:
Mozilla: verwijderen FTP-support haalt weer een onveilig verbindingsprotocol weg
20-07-2021, 11:35 door Anoniem
Door linuxpro: Ik vind dat niet handig. Er zijn genoeg legale sites waar oa. iso's worden aangeboden die middels FTP werken. Je hoeft er niet op te in te loggen (anonymous access) en je hebt alleen leesrechten. Ik zie het 'gevaar' hier niet van in.

Het gevaar is voor de gebruiker, die kan slachtoffer worden van man-in-the-middle aanvallen. Een MitM aanvaller kan zonder encryptie eenvoudig een download vervangen door malware. Daar zijn de aanvallers heel blij mee.
20-07-2021, 11:45 door MathFox
Door linuxpro: Ik vind dat niet handig. Er zijn genoeg legale sites waar oa. iso's worden aangeboden die middels FTP werken. Je hoeft er niet op te in te loggen (anonymous access) en je hebt alleen leesrechten. Ik zie het 'gevaar' hier niet van in.
Gebruik de command line ftp tool of filezilla. Zijn beter geschikt voor grote downloads.
20-07-2021, 11:55 door Anoniem


.-~~~~~-.
.' `.
| R I P |
| |
| FTP |
| ~~~ |
| Telnet |
\| |//
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

"Is er straks voor HTTP nog wel plaats over?"

20-07-2021, 12:19 door [Account Verwijderd]
Door Anoniem:
...
"Is er straks voor HTTP nog wel plaats over?"


Nee, wel voor HTTPS.
20-07-2021, 12:41 door Anoniem
Door Anoniem: HTTP uitfaseren?
Ehm, hoe ga ik dan m'n localhost testjes draaien?
Voor zover ik weet kan ik geen HTTP/2 draaien
zonder TLS.
Je kan nog steeds prima een self-signed SSL certificaat gebruiken voor lokale/dev testen. Powershell: New-SelfSignedCertificate.
20-07-2021, 13:19 door Anoniem
We moeten gebeten worden, maar mogen echter zelf niet opmerken dat we gebeten worden.
Wat als je getrackt en gemonitord wordt op veilige(r) manier, toch blijft er iets gebeuren, dat jij wellicht niet wenst?
Dat is veilig voor degenen, die jou het product willen laten blijven, niet voor het "product" zelf, jij en ik.

HTTPS zou veiliger zijn, indien juist die aspecten ervan transparant te controleren vielen.
20-07-2021, 15:21 door spatieman
een bepaalde mr gates zij ooit ,met de komst van windows 98 zijn virussen verleden tijd.
ik weet niet welke dope hij gebruikte, maar proberen wil ik het niet.
20-07-2021, 18:07 door Anoniem
En wanneer volgt de spyware die aanwezig is in Firefox zit? Zodat Firefox weer echt veilig in gebruik wordt.
20-07-2021, 20:15 door Anoniem
FTP werkt hier nog steeds vanuit de browser.
http://ftp.nluug.nl/os/Linux/distr/
21-07-2021, 08:16 door Anoniem
Door Anoniem: En wanneer volgt de spyware die aanwezig is in Firefox zit? Zodat Firefox weer echt veilig in gebruik wordt.

Welke spyware?
26-07-2021, 16:22 door Anoniem
Grappig, wanneer ik naar een website toe ga met het https protocol meldt Firefox dat het geen verbinding tot stand kan brengen omdat de te bezoeken site https niet ondersteunt. Er is dan wel een knop zichtbaar dat je naar die http-site door kunt gaan op eigen risico. Wat blijkt wanneer wij dan toch van die knop gebruik maken? Dat wij op een site terechtkomen die HTTPS ondersteunt. Wel erg irritant. Wij vragen ons dus af of degene die deze veiligheidsfaciliteit in Firefox wel helemaal compos mentis is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.