Comments 49
FTP уж совсем-то не умер, есть железки, которые умеют только TFTP, раньше домашнюю страницу заливал на сервер только по FTP - проверил, отвечает. Правда последние годы уже не через браузер, а с помощью Far.
Поясните в чём небезопасность протокола, какая необходимость его выпиливать?
Кому надо - пользуются, кому не надо - нет...
В чем проблема у браузера в связи с этим?
небезопасность такая же как у HTTP - байты передаются в открытом виде, без шифрования.
Это же проблема пользователя.
Обычные люди вряд ли сталкиваются с FTP.
А те кто пользуется FTP прекрасно представляют что к чему.
Ну к этому постепенно идёт. Плашка "не защищено" уже выдаётся
Рано или поздно и это произойдет. google первый, кто проталкивает тотальный переход на HTTPS.
Уже на пути к этому.
В Firefox Developer Edition так и не смог заставить работать сайт в локальной сетке предприятия через HTTP без переадресации на HTTPS.
Формулировка подразумевает, что есть безопасный интернет?
Можно подумать, что главная проблема с безопасностью в интернете - это mitm.
Честно говоря, защита канала связи с недоверенным вторым концом - это просто жульничество. В этом отношении, vpn - реальная технология защиты информации, а всякие там https - просто раскрутка на бабки за сертификаты.
Не имеет смысла шифровать свой диалог с неустановленным лицом. Вот просто никакого смысла.
VPN - это сама сеть (на что намекает буква N), которая управляется единым администратором (или, скажем, офицером безопасности), и только благодаря этому имеет смысл.
Ну да, ну да VPN же никогда и никому данные не сливают..
Если вы дадите себе труд посмотреть, например, данные сертификатов https русского и международного сайтов банка ВТБ vtb.ru и vtb.com, то обнаружите, что они выданы разными удостоверяющими центрами разным лицам. Так что банку-то я доверяю, а вот его вебсайту - нет. Пользуюсь подписанным банком мобильным клиентом и его защищённым туннелем.
И никогда, кстати, не слышал, чтобы реализовалась угроза со стороны промежуточных узлов (т.е. нескольких роутеров Ростелекома, если называть вещи своими именами), зато фишинг конечного сайта - типовой сценарий мошенничества. Что характерно, все фишинговые сайты имеют вполне легальные сертификаты https.
Можно реализовать атаку за счёт подмены трафика до ftp://domain.com вместо https://domain.com, и прочие прочие. И вообще, в их мире смузи и единорогов все уже давно не используют windows 7, ведь она !устарела!, а значит не подлежит использованию. Ведь это же совершенно не проблема поменять компьютер - тот померший 10 лет назад производитель станка же сделал обновление для софта, да?)
На самом деле для тех нужд, что использовали обычные люди - фтп действительно давно мёртв, хотя у меня на работе он активно используется для пересылки чувствительных данных (и это Европа, если что). Для всего остального есть файл-менеджеры или интерфейсы программ, использующих этого динозавра, в браузере он действительно без надобности.
2) в браузерах реализован очень урезанный набор возможностей FTP: вообще нет поддержки закачки, нет поддержки скачивания каталогов целиком
3) популярность протокола падает год от года
При этом, соответствующий код нужно поддерживать и следить, чтобы он не ломался.
Отсюда встречный вопрос: смысл тратить ресурсы на поддержку этого огрызка FTP, когда есть полнофункциональные клиенты?
Также немаловажную роль сыграла пандемия коронавируса, из-за которой программистам какое-то время пришлось работать на полную мощность для поддержки инфраструктуры.
Хотелось бы понять, какова реальная связь, чем таким особым занимались программисты из последних сил, чем им не приходилось заниматься все годы существования браузера до этого. Выглядит как притягивание за уши трендовой темы.
Недавно последняя тропинка была распахана и засыпана в подмосковном лесу. Тропинки - старый способ перемещения, используемый уже 5000 лет, в последнее время ими пользуются все меньше, специалисты предупреждают, что тропинки небезопасны, могут напасть волки. Специалисты были загружены из-за пандемии, поэтому решили подождать, пока все окончательно пересядут на машины.
Ну вот какой-то такой по аргументации кейс. Даже ещё бессмысленнее, чем с флешплеером, который нууу в приииинципе из-за массовости был неприятен уязвимостями, но тоже никому особо не мешал.
А теперь давайте представим что у вас есть ГОСТ для передвижения по тропинкам и все автопроизводители должны его учитывать при производстве автомобилей. Или скажем что за тропинками надо следить и на это уходят деньги из бюджета. Или ещё что-то в этом роде.
То есть никто же вам не запрещает и дальше пользоваться FTP. Google просто не видит особого смысла тратить деньги на его поддержку в своём браузере.
Не ломать - не то же самое, что активно развивать. Я ничего в этом не понимаю, но на чисто интуитивном уровне - что там за такое отягощающее легаси, что фтп влом поддерживать в каждом следующем релизе? Он на ассемблере написан что ли?
В смысле? У вас есть легаси фича. Если вы её у себя оставляете, то вам как минимум надо тратить ресурсы на тесты. То есть банально как минимум проверять не сломалась ли она случайно в очередном релизе.
Я ничего в этом не понимаю, но, на чисто интуитивном уровне - стаб ftp очень простой: put, get, dir, и т.д. Чему там ломаться я категорически не понимаю. Технологии сто лет в обед, и все клиенты ftp уже давно всё нормально обрабатывают.
Мне всё же думается, что это веяние моды, а не реальная необходимость, мол, не можем боле этот костыль содержать. Всяко, в google работают не дегенераты.
Мне в последнее время кажется, что таки да.
Судя по тому, в какое серое неудобное месиво превращаются Гугл.Карты, что дома появляются только на максимальном зуме, что на 1080p и ниже никто не тестирует, и на таком большом зуме в экран влезает только 1-4 появившихся дома (в гугле же у всех 4k). Как на карте даже около Москвы до сих пор остались несуществующие дома и улицы, которые снесли 7 лет назад. Как блевотные гугл.панорамы застряли на уровне 2007 года.
Как годами в Google Pay не появляются собственные названия подписи к дисконтным картам.
Как всё сильнее и сильнее тормозит Gmail на десктопе.
Все же, аналогия не верна. Скорее, firefox и google убрали функцию передвижения на своих автомобилях по тропинкам (их автомобили и так раздуло от массы кода:). И раньше уже не много кто ездил по тропинкам. Однако, передвижение по тропинкам любым другим способом (ноги, велосипед, мотоцикл) никто не запрещал. FTP-клиенты так и остались и никто их выкидывать не собирается.
Посмотрим, как, глядя на этих гигантов браузерной индустрии, начнут выпиливать поддержку FTP из своих имплементаций NAT вендоры маршрутизаторов: тропинками пользуйтесь за оградой, или внутри ограды, но не проезжайте на велосипеде через калитки нашей модели, они только для автомобилей.
Если маршрутизатор поддерживает установку пакетов из OpenWrt/Entware, то у пользователя полная свобода. Причем, поддержка сторонних репозиториев бывает прямо из коробки, например, в продукции Keenetic.
Аналогия очень неудачная (как, кстати, и сама статья с новостью - лучше прочитать оригинальный документ - https://docs.google.com/document/d/1JUra5HnsbR_xmtQctkb2iVxRPuhPWhMB5M_zpbuGxTY/edit).
Не то, чтобы в Chrome была какая-то образцовая поддержка FTP - FTPS не работало, прокси не работали. Особой популярностью ftp не пользовался (0.03% пользователей за месяц там что-то по FTP скачивали). Собственно, я не вижу ни одной причины, по которой непопулярную, недоделанную, потенциально несекьюрную фичу, которая не пользуется популярностью, нужно держать и поддерживать в браузере, а не делегировать специализированной программе.
Я бы даже сказал, что параллель с аггресивным внедрением HTTPS на замену HTTP тут немного ложная. Мне кажется, что в случае с HTTPS - это мотивация вида "основной протокол, который используется в вебе, должен быть безопасен по-умолчанию", а с FTP - "FTP в его текущем виде не место в браузере, пользуейтесь специализированным ПО".
0.03% пользователей за месяц там что-то по FTP скачивали
«в конце 2018 года аудитория браузера Mozilla Firefox составляла 244 млн пользователей»
73200 пользователей. Население небольшого города так то.
Учитывая, что речь про Хром - там вообще аудитория под 3 миллиарда, т.е. почти миллион человек хотя бы раз в месяц что-то скачивали по ФТП. Тем не менее, не вижу здесь причины для лишней драматизации: скачать FTP клиент - это два клика, людям же не браузер использовать запрещают. Выкинуть кусок легаси кода и потенциально доставить неудобства 0.03% пользователей - вполне прагматичное решение, не смотря на абсолютную цифру в миллион человек.
протоколы передачи файлов с шифрованием SFTP и FTPS, которые также очень устарели
С какого перепугу у вас SFTP устарел?
В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных.
Редиски.
Google (компания) была основана более 20 лет назад, и с тех пор технологии шагнули далеко вперед. Несовершенность компании Google логична и решение расформировать компанию назрело не в одночасье. Просто отличное обоснование, ко всему подходит! Считаю, что HTTP(S) так же устарел, пожалуйста отключите этот небезопасный, древний (30-ти летний!) протокол во всех браузерах т.к. технологии уже давно шагнули далеко вперёд! =) Походу пора ставить проверку «ваш браузер слишком новый и не поддерживается».
Мне вот интересно какая там замудренная поддержка для одного объекта interface FTPClient? Говорят не дураки работают? Ну-ну. Умные люди то что просто работает не трогают, и глупых отговорок не придумывают.
протоколы передачи файлов с шифрованием SFTP и FTPS, которые также очень устарели
Люди добрые! Помогите! Как люди в 2021м файлы на хостинг грузят?
Google окончательно удалила код протокола FTP из Chrome