Kontakt
Handy Deals

FTP – ein Sicherheitsrisiko!

4. Juni 2014 Kommentare deaktiviert für FTP – ein Sicherheitsrisiko!

In der Regel übertragen die Betreiber einer eigenen Webseite per FTP zum Webhoster. Oftmals kommt dabei keine Verschlüsselung zum Einsatz, was ein großes Sicherheitsrisiko darstellt. Von den großen Providern weist keiner seine Kunden auf diese Risiken hin und bei einigen ist die verschlüsselte Verbindung absolut nicht möglich. FTP wurde in den 1970er Jahren entwickelt und ist somit schon etwas betagt. Es hat aber auch heute noch eine wichtige Funktionen und kommt beim hochladen von HTML- oder PHP-Dateien auf den Server vom Provider zum Einsatz. Dies erfolgt oftmals ohne Verschlüsselung.

Unverschlüsselte Übertragung von Dateien und Zugangsdaten

Ursprünglich hat das File Transfer Protokoll (FTP) keine Verschlüsselung unterstützt. Dateien und Zugangsdaten wurden unverschlüsselt und somit ungeschützt übertragen. Heute ist die die Situation bei Verfahren zur verschlüsselten Datenübertragung übersichtlich geworden. So gibt es ein Protokoll mit der Bezeichnung SFTP, das mit dem ursprünglichen FTP-Protokoll außer dem Namen nicht gemeinsam hat. Es handelt sich um ein SSH-Protokoll das auf Unix-Servern dem abgesicherten Login dient. Es kann auch so konfiguriert werden, dass ausschließlich die Übertragung von Daten stattfinden kann, aber kein echter Login ermöglicht wird. Das ursprüngliche FTP kann auch um TLS erweitert werden. Das wird sehr oft mit der Abkürzung FTPS bezeichnet. Es gibt zwei Varianten, den impliziten und den expliziten Modus. Der als veraltet geltende implizite Modus wird kaum noch verwendet. Der explizite Modus ist unter der Bezeichnung File Transfer Protocol Explicit Security bekannt und wird kurz FTPES genannt.

Gehackte Webseiten bieten Hackern viele Möglichkeiten

Immer öfter werden Webseiten gehackt. Über Sicherheitslücken in Webanwendungen wird das ebenso ermöglicht wie über gestohlene Zugangsdaten. Die Verschlüsselung der Datenübertragung sollte absolute Priorität haben. Problematisch wird es vor allem wenn die Zugangsdaten gestohlen werden. Für Angreifer kann aber auch der Inhalt von Dateien interessant sein. Das ist unter anderem der Fall wenn sich Zugangsdaten zu einem Datenserver in PHP-Dateien befinden. Eine gehackte Webseite bietet Hackern zahlreiche Möglichkeiten. So kann das Werbebanner Malware ausliefern oder der Webspace kann für Phishing-Webseiten missbraucht werden. Über die PHP können zudem E-Mails verschickt werden und damit werden Webseiten zu Spamschleudern.