Как недавно стало известно, самые популярные браузеры Google Chrome и Mozilla Firefox в обозримом будущем могут лишиться поддержки протокола FTP. Обернется ли это решение неудобствами для пользователей?

Для чего нужен FTP?

Основное предназначение протокола FTP несложно понять из его названия — File Transfer Protocol. Это один из старейших протоколов передачи файлов в компьютерных сетях, первая версия FTP была представлена еще в начале 1970-х годов. FTP использует клиент-серверную архитектуру. Для передачи команд к удаленному серверу и обмена файлами используются разные сетевые соединения. Один из каналов передачи является управляющим, по нему поступают команды к удаленному серверу, а через остальные каналы может идти передача файлов. Протокол поддерживает аутентификацию пользователей, однако существует немало FTP-ресурсов, доступных всем пользователям сети.

Как правило, формат адреса FTP-ресурса имеет следующий вид:

ftp://<login>:<pass>@<host>:<port>/<path-to-file> ,

где <login> и <pass> — логин и пароль пользователя, <host> — IP-адрес сервера или его доменное имя, <port> — порт (обычно 21), <path-to-file> — путь к нужному файлу. Логин и пароль можно не указывать для общедоступных ресурсов, порт — также необязательный параметр.

Для работы с файлами по протоколу FTP существует немало графических и консольных клиентов, таких как Filezilla.

Главное окно Filezilla

Кроме того, поддержка FTP реализована с помощью плагинов в популярных файловых менеджерах, например, FAR.

Работа с FTP через FAR

Однако чаще пользователи скачивают файлы, размещенные на FTP-ресурсах, с помощью браузеров. Пока еще скачивают — разработчики Firefox и Chrome намерены постепенно избавиться от FTP в новых версиях браузеров. Почему?

Безопасность протокола FTP

Протокол FTP довольно удобен в использовании, но не слишком безопасен. Именно вопросы безопасности вынуждают разработчиков браузеров отказываться от FTP. О каких уязвимостях упоминают специалисты?

Как видно из формата адреса FTP-ресурса, логин и пароль пользователя передаются в незашифрованном виде, а значит, аутентификационные данные легко перехватить. Кроме этого, FTP-серверы уязвимы перед атаками методом грубой силы с переборами паролей по словарю. Возможны и иные векторы атак: например, FTP практически беззащитен перед спуфингом. Злоумышленник может фальсифицировать заголовок IP-пакета и атаковать FTP-сервер, используя чужой адрес. Также можно устроить DoS-атаку на удаленный FTP-сервер. Кроме того, на использовании устаревших особенностей FTP основана так называемая «скрытая» атака. Злоумышленник может послать команду LIST серверу, чтобы прочитать содержимое текущего каталога, а далее менять порты для отсылки запроса на чтение. Если нужный порт закрыт, в ответ придет ошибка с кодом 425 Connection Refused, если открыт — придет ответ с кодом 226. Таким образом, можно будет получить полный список закрытых и открытых портов — эта информация может использоваться для осуществления «прицельной» атаки на нужный сервер.

Уязвимости FTP перед атаками позволяют разработчикам считать этот протокол небезопасным и устаревшим, поэтому его поддержка будет постепенно исчезать из браузеров.

Какие возможности исчезнут?

Конечная цель команд разработки Mozilla Firefox и Google Chrome — полный отказ от поддержки FTP в своих браузерах из соображений безопасности. Однако эта цель будет достигаться постепенно. Первый этап отказа от FTP — отказ от рендеринга файлов, хранящихся на серверах.

Сейчас, если вы скачиваете изображение с FTP-сервера, файл отрисуется непосредственно в браузере: попробуйте, например, пройти по адресу ftp://ftp.hp.com/pub/extaccel/oil.JPG. Аналогично вы можете открыть в браузере и html-страницу, полученную от FTP-сервера. В будущих релизах Google Chrome будет сразу предлагать скачать страницы и изображения, не открывая файлы в окне браузера. Показ содержимого директорий на FTP-серверах пока будет поддерживаться. Аналогичные планы рассматриваются и командой Mozilla Firefox. Мотивация разработчиков понятна: файлы с FTP-серверов сейчас скачивают далеко не все пользователи, а имеющиеся технологии доступа, встроенные в браузер, делают браузеры менее защищенными. IT-специалисты практически не сомневаются: если от поддержки FTP откажутся Chrome и Firefox, примеру Google и Mozilla последуют остальные разработчики популярных браузеров.

Но что делать, если поддержка FTP будет нужна вам и в будущем? Пользоваться FTP-клиентами, конечно. Filezilla мы уже упоминали, также поддержка FTP есть в Cyberduck, поддерживается протокол и легендарным файловым менеджером Total Commander. Для пользователей UNIX-подобных систем существует и консольный клиент lftp.

Таким образом, пользователи и далее смогут подключаться к FTP-серверам, но в будущем для этого придется пользоваться уже не браузером, а специальной программой-клиентом.