1

Я заметил, что не все клиенты FTPS поддерживают повторное использование сеансов, и мне интересно, является ли это критически важным параметром безопасности, который следует оставить включенным на сервере.

Я предполагаю, что злоумышленник может перехватить соединение для передачи данных, даже если SSL/TLS используется как для управления, так и для передачи данных, если опция повторного использования сеанса не включена. Может ли кто-нибудь помочь подтвердить / опровергнуть это и дать более подробные объяснения?

Я также нашел это: VU # 2558 File Transfer Protocol позволяет перехватить соединение для передачи данных через условие гонки в режиме PASV, не зная, является ли это актуальным, поскольку он вообще не упоминает SSL/TLS.

|источник

2 ответа2

3

Ваше предположение верно. Повторное использование сеанса TLS защищает вас от теоретической возможности того, что злоумышленник захватит FTP-соединение для передачи данных.

Когда вы инициируете передачу данных, сервер открывает порт подключения к данным на сервере (в пассивном режиме). Возможный злоумышленник может угадать порт и подключиться раньше, чем ваш FTP-клиент, украдя ваши данные.

Если сервер требует, чтобы тот же сеанс TLS использовался для подключения к данным, злоумышленник не сможет запустить собственный сеанс TLS, не позволяя ему / ей декодировать данные.

Еще одним преимуществом повторного использования сеанса TLS является производительность, поскольку вам не нужно выполнять новое квитирование TLS для каждого подключения к данным / передачи файла. Что особенно важно, если вы передаете много маленьких файлов.

Уязвимость, на которую вы ссылаетесь, на самом деле является расширенным набором проблемы, которую пытается предотвратить повторное использование сеанса TLS.

|источник
2

Некоторые серверы ожидают, что клиенты будут использовать один и тот же сеанс SSL для контроля и передачи данных. Помимо этого повторное использование сеанса ускоряет соединения, потому что это уменьшает количество обратных вызовов, необходимых для установления соединения SSL. Возможно, клиент, который не использует явный переключатель для повторного использования сеанса, просто использует его неявно, как это делают браузеры.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .