Mozilla уберет поддержку протокола FTP из Firefox к 2021 году

    imageФото: www.ghacks.net

    Разработчики Mozilla заявили, что уберут поддержку протокола FTP из Firefox, так как считают его небезопасным. Пользователи не смогут загружать файлы по данному протоколу и просматривать в браузере содержимое FTP-ссылок и папок.

    «Мы делаем это из соображений безопасности. FTP — это небезопасный протокол, и нет причин выбирать его для загрузки ресурсов вместо HTTPS», — отметили инженеры Mozilla.

    Отказ от поддержки FTP произойдет с релизом Firefox 77. Выпуск версии запланирован на июнь.
    Тем пользователям, которые хотят сохранить возможность просматривать и загружать файлы через FTP, временно сохранят поддержку протокола через настройки на странице about: config. Их нужно будет выполнить вручную.

    Пользователи Firefox могут управлять поддержкой FTP следующим образом:

    • загрузите about: config в адресную строку браузера;
    • подтвердите, что вы будете соблюдать меры безопасности;
    • поиск по network.ftp.enabled;
    • установите значение TRUE, чтобы включить поддержку FTP в Firefox;
    • установите предпочтение FALSE, чтобы отключить поддержку FTP в Firefox.

    В начале 2021 года Mozilla удалит из своего браузера весь код поддержки FTP.

    Дискуссия о прекращении поддержки FTP началась в 2015 году, когда инженеры Google и Mozilla начали обсуждать удаление FTP из веб-браузеров Chrome и Firefox. Обе компании уже ограничили некоторые функции, связанные с FTP; Mozilla начала блокировать ресурсы с FTP, загруженные на веб-страницы в Firefox 61, а Google прекратил поддержку прокси в Chrome 76.

    Новая опция для отключения поддержки FTP в Firefox была добавлена ​​Mozilla в 2018 году, но флаг по умолчанию никогда не включался. Это позволило пользователям и организациям отключить поддержку FTP по отдельности.

    Летом 2019 года Mozilla объявила, что Firefox начнёт помечать HTTP-страницы значками «небезопасно». Изменения вступили в силу в версии Firefox 70, которая вышла в октябре.

    Ранее, начиная с версии Firefox 51, значки «небезопасно» использовались по умолчанию только для сайтов, которые содержат формы или поля входа в систему. В Firefox 70 значок появился в левой части панели URL, как и у Google Chrome.

    В феврале Mozilla включила DNS-шифрование по умолчанию у американских пользователей.
    Разработанный Mozilla, Google и Cloudflare протокол DNS-over-HTTPS (DoH) сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник может отслеживать содержимое DNS-пакетов и даже подменять их.

    Также Mozilla объявила, что введет в Firefox 75 функцию для улучшения приватности пользователей. Браузер будет самостоятельно удалять данные тех сайтов, которые используют отслеживающие файлы cookie.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 39

      +5
      и нет причин выбирать его для загрузки ресурсов вместо HTTPS», — отметили инженеры Mozilla.
      Кроме того, что чтобы поднять ftp и передать несколько файлов нужна одна команда, а для поднятия https нужен полноценный веб-сервер, система автоматического переподписывания и перевыпуска сертификатов и проч и проч.

      Согласен с недавней статьей что Mozilla и Google по сути монополизировали технологии связанные с сетью и сами диктуют что кому делать погд соусом «безопасности».
        +2
        и нет причин выбирать его для загрузки ресурсов вместо HTTPS», — отметили инженеры Mozilla.
        Это вообще несостоятельный аргумент, потому что в нём сравниваются две несравнимые вещи: протокол без шифрования с протоколом без шифрования с TLS поверх него.
        Не сравнивают, почему-то, FTP с HTTP, или FTPS с HTTPS. Баг с просьбой добавлении поддержки FTPS (FTP с TLS) существует в баг-трекере уже 19 лет.
        bugzilla.mozilla.org/show_bug.cgi?id=85464
      +8

      Как резво все бросились закапывать FTP в последние годы!


      А что взамен? А ничего.


      • В http нет понятия директорий и работы с файлами,
      • у webDAV несовместивые реализации серверов и клиентов,
      • у NFS и SMB нет понятия URL — на них нельзя просто дать ссылку
      • для SFTP (SSH) не распространены клиенты

      Что было в FTP и что мы потеряли:


      • нормальные URL ftp://example.com/dir-to-browse/
      • которые открывались (пока ещё открываются, но скоро перестанут) на большинстве платформ ШТАТНЫМ СОФТОМ включая
        • собственно windows — через Проводник
        • линуксы и юниксы — Nautilus/Dolphin (про консоль и fuse и не говорю)
        • маки — через Finder
      • огромный выбор клиентов и серверов
      • шифрование для тех кому надо
      • без шифрования, если оно вам не надо (напр. пакеты RPM подписаны GPG, шифровать их передачу нет особого смысла)
      • очень простая реализация минимального клиента

      Я понимаю, почему в мобильниках нет и не было поддержки FTP — надо продавать облака, нафиг такого конкурента. Я не понимаю, почему Мозилла дропает удобный и безальтернативный протокол (пусть и слегка проблемный, как все старые протоколы).

        0
        для SFTP (SSH) не распространены клиенты

        Практически любой ФМ умеет.
          +1

          Как в проводнике зайти по sftp (НЕ ftps)?

          +2

          Особенно Проводник, ага.

          0

          Закапывают же не FTP, а его поддержку в лисе.
          Пока.
          PS. но вообще статья хайповая. maybe_elf снова не выполнил план по буквам за неделю.

            +3

            Единственное преимущество FTP — в поддержке проводником windows из коробки.


            Протокол, который "просто работает" — это не про FTP. Настраивать NAT или фаервол для пассивного режима — проще застрелиться. Активный режим вообще ни разу не встречал вживую. Засунуть FTP сервер в докер с изоляцией сети тоже невозможно. Приходится городить отдельную инфраструктуру только для поддержки FTP.


            шифрование для тех кому надо

            Как показала практика — никому не нужно шифрование в FTP. Всегда были проблемы с FTPS из-за кривой конфигурации на клиентах или плохой поддержки в принципе. А при использовании FTPES клиенты никогда не согласовывали шифрование.


            Хочу отметить, что переход на SFTP не вызвал вообще никаких проблем со стороны клиентов. У некоторых конечно возникли шероховатости при переходе, но после исбавления от FTP, стало сильно лучше. Кажется я даже слышал вздох облегчения со стороны технарей у парочки клиентов :)


            без шифрования, если оно вам не надо (напр. пакеты RPM подписаны GPG, шифровать их передачу нет особого смысла)

            Класс! Пусть каждый mitm знает какой софт и каких версий у меня на серверах и спокойно готовит пак подходящих эксплоитов :)


            Мозилла всё правильно делает. FTP своё отжил и пора его закапывать.

              0
              в поддержке проводником windows из коробки.

              Даже если бы это и правда было единственное преимущество — это уже было бы очень немало.


              Настраивать NAT или фаервол для пассивного режима — проще застрелиться

              В пассивном режиме через NAT всё просто работает. Ну или уже очень давно настроено, что одно и то-же.


              Как показала практика — никому не нужно шифрование в FTP

              Поэтому мозилла убирает FTP из-за небезопасности. Но шифрование не нужно. Но необходимо. А его нет и оно не нужно. Но нужно.


              Всегда были проблемы с FTPS из-за кривой конфигурации на клиентах

              В остальных протоколах всё ещё хуже. FTP можно починить.


              Хочу отметить, что переход на SFTP не вызвал вообще никаких проблем со стороны клиентов.

              Каких клиентов? У вас хостинг? Тогда разумеется, SFTP (и шелл) им нужны и полезны. Это инструмент профессионалов.


              Пусть каждый mitm знает какой софт и каких версий

              Ваше право качать обновы по шифрованному каналу, хотя сначала надо защититься от фингерпринтинга силами nmap и т.п. а иначе это бесполезно, ну думаю вы в курсе.


              FTP своё отжил и пора его закапывать.

              Чем заменить?

                0
                В пассивном режиме через NAT всё просто работает. Ну или уже очень давно настроено, что одно и то-же.

                Это для клиента всё просто работает. А на стороне сервера уже становится не просто. В cisco, например, нельзя прописывать диапазоны портов в конфигурации nat, поэтому приходится выделять отдельный внешний IP и натить его целиком на отдельную виртуалку.


                Чем заменить?

                SFTP без вариантов.

                  0

                  ну, тогда и sip пора выкидывать на свалку истории — чего мелочиться только с фтп

                0
                Засунуть FTP сервер в докер с изоляцией сети тоже невозможно.
                Нужно пробрасывать не только порт 21, но и другие порты, которые используются для пассивного режима. FTP работает в контейнерах, каких-то особых проблем нет.

                Как показала практика — никому не нужно шифрование в FTP. Всегда были проблемы с FTPS из-за кривой конфигурации на клиентах или плохой поддержки в принципе. А при использовании FTPES клиенты никогда не согласовывали шифрование.

                Попробуйте ftpes://serv.valdikss.org.ru/, с проблемами не сталкивался.
                  +1

                  Если клиентов ожидается много, то и портов пробрасывать нужно много. А это уже проблема, так как на каждый проброшенный порт докер стартует отдельный процесс docker-proxy на хосте.


                  Искренне рад, что вы не сталкивались с проблемами при эксплуатации FTP. Я сталкивался и мне хватило.

                    +1

                    Больше похоже на проблемы при эксплуатации докера.

                      +1

                      Безусловно. Любая сложная технология имеет какие-то проблемы в эксплуатации. И докер я точно не назову простой технологией.

                +1
                Вы не комментарии на хабре пишите, а ответственным людям. Я отправил примерно такие же аргументы сначала в баг, затем в рассылку. До рассылки еще письмо что-то не дошло, поэтому продублировал непосредственно человеку, который будет убирать поддержку FTP.
                Видимо, не все понимают, что люди пользуются FTP не от хорошей жизни, а из-за того, что всё другое либо хуже, либо неудобней, либо не так хорошо поддерживается в ПО. Совет пользоваться HTTPS вместо FTP от Mozilla — вздор, такой мог дать человек, который ни разу не загружал или не скачивал папки целиком.
                  0
                  Это видимо часть общих стремлений убить понятия файл/папка вообще.
                  0

                  Вот буквально недавно перевел все 40 компов в организации с хромого на лису и… прям стало грустно. То язык сам меняет на английский у интерфейса, то, после обновления, рекламу показывает что он обновился и дропает открытые вкладки, теперь вот FTP собираются грохнуть, который по сути нечем заменить…
                  Подыхает лиса. Подыхает по своей вине.

                    –1

                    Мифические баги какие-то просто.

                      +1

                      Типичный ответ опенсурсника "у меня такая-же нога и не болит".
                      Мифические или нет — факт есть факт. После каждого обновления фаерфокс на русской десятке — включает английский интерфейс и каждый раз приходится добавлять заново русский язык. Установлен с официального сайта, из плагинов — только ublock, винда чистая, лицензия. Вот прямо сейчас проверил — опять английский интерфейс стал на рандомном компе. Поиск в интернетах не приводит ни к чему.
                      Дроп открытых вкладок и показ стартовой страницы с призывом юзать их синку — ок, было замечено мною всего на трех машинах за все время, однако специфичность работников организации вполне допускает что данный прикол просто остался незамеченным у других людей.

                        0
                        Параметр intl.locale.requested установленый ли в «ru» не поможет решить проблему?
                        При отсутствии — создать сей строковый параметр.
                        (Аналог для Firefox <=58 — general.useragent.locale).

                        P.S. Попробовать сейчас возможности не имею, а у Firefox все настройки постоянно меняются, так что без гарантии.
                          0

                          Может, тогда выяснить, где у вас проблема? Тут явно браузер ни при чем.

                            0

                            С радостью, меня это дело бесит и я дикий сторонник СПО. Подскажите в чем проблема или хотя-бы куда копать? Windows 10 Pro, русская, x64, поставленная с трех разных образов (так получилось т.к. записывал на флешку свежий три раза через средство стандартное от MS), лицензия MAK. Офис 2010 тоже лиц, тоже русский, тоже х64. Фаерфокс был скачан с офсайта в день установки винды (у нас нет средств развертывания системы или AD), то бишь тоже 5-7 вариантов. Везде версия стандартная. Два раза скачивал с en сайта, аккаунтов или т.п. нет, везде одно и тоже — после обновления браузера — он гарантированно переключается на английский. Причем если добавить русский — кнопки "применить и перезапустить" не появляется, однако после перезапуска он станет русским. Пробовал и локально поставить и под админской учеткой — одинаковая проблема.
                            Живем в Карелии, прокси/ВПН не юзаем, провайдер Мегафон с выходом в СПБ, в intl.че-то-там стоит "ru,en", который тоже сбивается каждый раз.

                              0
                              Впечатление, что проблемы с каталогом профиля.
                              у меня похожее в МанжароКедах было. Решал принудительным прописыванием всем всех прав по всему пути.
                                0

                                Это виндоуз, установка в пользовательскую папку, по идее права все в норме.

                        0
                        А потестировать сперва на одном? Ну и взять ESR вариант… Хотя я вообще беру Pale Moon, но хромоспецифичные вещи у него не очень выходят.

                        А если у 60-70х версий и вправду открытая сессия (при настройках вида «show my windows and tabs from last time») заменяется рекламой — это очень печально и неюзабельно, лично у меня сессия может и десятки табов содержать…
                          0

                          Это был своего рода порыв, после того как мозилловцы выпустили свое письмо после перехода Edge на двигло хрома. Конечно было-бы неплохо протестировать, но, так как у нас нет специфичных вещей по типу плагинов или цифровых подписей — я не думал что могут возникнуть вообще какие-либо проблемы.

                          0
                          Справедливости ради, хромой тоже выпилит FTP в 82й версии www.chromestatus.com/feature/6246151319715840
                            0

                            Хромой может хоть поддержку HTTPS себе отпилить, бог в помощь.

                          +5

                          Хм, развитие новых технологий всё чаще заставляет запускать Internet Explorer. Нужно посмотреть Flash-ролик? IE. Нужно открыть игру на Unity, собранную под NPAPI? IE. Теперь и по FTP аутентично походить можно будет через IE (ну, WinSCP хорош, конечно...).
                          Странным образом, необновляемый браузер используется всё чаще именно потому, что без "поддержки" в нём ничего не ломается. Забавная тенденция.

                            0
                            Для работы с FTP есть масса клиентов (WinSCP, Filezilla, TotalCommander и его бесплатные клоны), почему общее настроение из разряда «ну всё, в браузере не будет поддержки FTP, это конец»? В браузере нет поддержки ещё массы протоколов: SSH, RDP, VNC, но это не делает браузер плохим или эти протоколы мёртвыми. Чем FTP тут такой особенный?

                            Резюмирую: никакой драмы не случилось, для работы с FTP будем использовать специально созданный для этого клиент, коих полно, не стоило даже изначально тащить это в браузер.
                              0
                              Ну-у, я не говорил, что теперь можно будет ходить по FTP только через IE. Я про то, что технология «сидим на ftp из браузера» остаётся только там. И раньше можно было закачать файл на FTP и дать юзеру ссылку на него, а теперь в таком случае ещё и надо объяснять, как его оттуда забрать.
                              Впрочем, по такому сценарию уже несколько лет как не пользовался FTP.

                              P.S. А вот Total Commander использовать для FTP мне, в своё время, очень нравилось — но до момента, пока друг, у которого я хостился, не высказал мне своё фи. Совпали две технических проблемы — сервер друга за какой-то его надобностью имел неограниченный таймаут у соединения, а TC иногда корректно это самое соединение не закрывал, если его прихлопнуть «крестиком» в углу окна. В итоге, обе стороны оставались в недоумении, а друг, увидев с пяток висящих открытыми соединений, обычно расстраивался.
                              Впрочем, это было целую эпоху назад, и решилось тогда переездом на тот самый WinSCP, ЕМНИП.
                                0
                                Впрочем, по такому сценарию уже несколько лет как не пользовался FTP.

                                А я пользовался. Гораздо удобнее всяких *драйвов, дропбоксов и рапидшар. Очень удобно, если нормальный ФМ — перетащил файл в шару, выделил в шаре, ctrl+c, вставил ссылку в чат. Но только в некоторых мессенджерах ссылки ftp:// даже не подсвечиваются. Работающую технологию убивают.

                                0
                                общее настроение из разряда «ну всё, в браузере не будет поддержки FTP, это конец»?

                                Потому что мозилла не первая, кто под соусом "устарело, несекурно" закапывает FTP. И это тревожит.


                                Что толку в winscp, если файлы, которые вы так выложите на ftp-сервер никто не сможет скачать? Хотелось бы, чтобы в Проводнике условной Windows 11 поддержка FTP(s) стала лучше (в идеале вровень с SMB), а не пропала вовсе. Хотелось бы, чтобы FTP или его аналог (которого, напомню, не существует) появился наконец-то в мобилках, а не пропал из мобильного FF.


                                В 21 веке поддержка протокола удалённого управления файлами должна быть везде и в идеале должна вытеснить уродливые и тормозные веб-интерфейсы облаков. Причём технология есть, надо просто перестать её закапывать.

                                  +2
                                  Чем FTP тут такой особенный?
                                  Исключительно тем, что поддержка FTP была фактически во всех программах, которые так или иначе поддерживали удалённую работу с файлами: файловые менеджеры (в т.ч. системные, это очень важно), браузеры, менеджеры закачек. Поддержка FTP исторически была во всех браузерах, а значит, что его можно считать «протоколом веба». Для обмена файлов всегда было достаточно поднять FTP-сервер, и будешь уверен, что у всех откроются FTP-ссылки, если их куда-нибудь скинуть, без установки дополнительного ПО.

                                  Поисковик Google, между прочим, индексирует FTP. Было бы странно, если бы пользователь нажал результат поиска, а он у него не открылся из-за неподдерживаемого протокола.
                                    0
                                    Было бы странно, если бы пользователь нажал результат поиска, а он у него не открылся из-за неподдерживаемого протокола.
                                    Уже такое было с WML. Если WML-ссылки и открывались, то только через плагины к браузеру. Не удивлюсь, если снова повторится…

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое