[harden-mac:0229] Re: OSX ftpアクセス について

[SHIROYAMA Takayuki <puresnow@xxxxxxx>]

しろやまです。

>
> 申し訳ありません、以下のネットワークに平文パスワードを垂れ流すFTPの利用」
> という点がわかりません。PWをネットワーク上に垂れ流してるんでしょうか？
>

telnet と同じで認証時に生のパスワードが流れますし、別に暗号化も
何もされないので、流れているデータを傍受することも可能です。

sftp, scp は ssh と同じ認証をしますのでパスワードを盗聴するのは
困難ですし、sshのセッションの上でデータ転送しますので流れるデー
タを傍受することは難しいです。

ただ、現実問題として scp や sftp のクライアントが少ないし、ごく普
通のユーザさんには使ってもらいづらい環境にはあります。
# 石川さんのページでも話がありましたが、ファイル共有で利便性と
# 安全性を両立するのはかなり大変です(--;;


運用でこれらを回避するという方法もあります。ある程度安全なネット
ワーク内(LANの中)でしか ftpをみとめないという方針です。

そして、外部から FTPする必要性がある場合は VPNをはるとか、別
途用意した専用のダイアルアップ回線から接続してもらうなりして
「LANに準じた信頼性のおけるネット」の内に入ってもらい、そこから
ftpしてもらうという方法です。

この場合「信頼された人のみしかいないはずのネットワークの中」で
すので、平文のパスワードが流れようと、データが盗聴可能であろう
と、そもそも「親ディレクトリにcd できる」としても(程度の問題はあり
ますが)構わないといえます。

# もちろん、「悪意ある内部の人間」には無力ですが... そもそもその
# 様な人間がいたら「もっと別の手がある」ので、これだけを論じて
# も仕方ないかと。

---
SHIROYAMA Takayuki


--[PR]------------------------------------------------------------------
★☆『 Xmas Party on the Net 』開催中♪☆★
　FreeMLからは、サイバーショット２台をプレゼント♪
　┣ キーワードを探して、[Xmas Party on the Net]のバナーをクリック！
　┗ あとは応募するだけ！　締め切りは12/24の0時。お早めに〜。
▼キーワードは右上だよ=> http://ad.freeml.com/cgi-bin/ad.cgi?id=b31C5
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp