Les développeurs de Chrome et Firefox envisagent de supprimer le support de FTP sur leur navigateur respectif
Pour des raisons de sécurité

Le , par Christian Olivier

157PARTAGES

15  0 
Il semble que, depuis plus de 4 ans, les développeurs Google plaident pour la suppression du support de FTP dans Chrome en raison notamment de sa faible utilisation. À ce propos, ils ont déclaré dans un rapport de bogues datant de 2014 :

« Nous devrions envisager de supprimer la prise en charge intégrée de FTP dans Chrome et de la transférer vers une application […] sur une période de sept jours, seuls 0,1 à 2 % des utilisateurs accèdent à une URL FTP quelconque (avec des chiffres légèrement supérieurs parmi les utilisateurs de postes de travail Linux) ».


Ils déplorent également le fait que la prise en charge de FTP sur Chrome ajoute une surface d’attaque supplémentaire sur le navigateur de la firme de Mountain View et demeure moins sécurisée qu’une connexion HTTPS :

« FTP est un protocole hérité non sécurisable. Nous avons le support du protocole FTP WONTFIXed sur iOS, mais son utilisation dans Chrome qui est basé sur Blink est suffisamment élevée pour qu’il semble difficile de tout supprimer en même temps ».

À l’heure actuelle, lorsqu’un utilisateur ouvre un fichier enregistré sur un serveur FTP par le biais du navigateur de Google, Chrome tente de restituer ce fichier (image, son, ou autre) directement sur le navigateur.


Les développeurs de Google ont l’intention de modifier Chrome afin qu’à l’avenir, il évite de restituer les fichiers accessibles via « une URL ftp:// » directement sur le navigateur. Ils voudraient plutôt que l’ouverture d’une URL ftp:// conduise au téléchargement du ou des fichiers cibles. Toutefois, Chrome devrait continuer à afficher les index de répertoire FTP.

D’après les développeurs de la filiale d’Alphabet : « Cela semble être un moyen raisonnable de réduire sa viabilité en tant que surface d’attaque, en tant que tremplin en lieu et place d’une élimination complète ».

Les développeurs de Chrome ne sont pas les seuls à vouloir supprimer la prise en charge FTP sur leur navigateur. Mozilla aussi nourrirait les mêmes ambitions de son côté. L’éditeur de Firefox a confirmé il y a cinq mois de cela, dans un ticket ouvert sur Bugzilla il y a plus de 18 ans, qu’il envisage à terme de supprimer également la prise en charge de FTP sur Firefox.


Il y a fort à parier que si Chrome et Firefox décident tous deux de supprimer le support du protocole FTP de leurs navigateurs respectifs, d’autres éditeurs de navigateurs concurrents s’engageront très probablement sur la même voie afin de réduire la complexité de leur code de base et de supprimer les fonctionnalités rarement utilisées.

Source : Google, Bleeping Computer

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé le protocole FTP ne supportant pas le chiffrement moderne
Google pince à nouveau les responsables Web : l'accès aux ressources via FTP sera marqué comme non sécurisé sous Chrome 63
Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile
Google donne des précisions sur le déploiement HTTPS sur ses produits et services et fait une liste des pays qui s'en servent le plus

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 19/08/2019 à 14:31
3 points principaux pour le FTPS :
Avec FTPS (tout comme HTTPS d'ailleurs) seule une partie de la communication est chiffré.
La connexion au serveur FTP se fait en clair, donc déjà les premières commandes passent en clair.
Ensuite, suivant l’implémentation ou la configuration du serveur, il est parfois nécessaire de s'être authentifié avant de pouvoir basculer en SSL, ce qui fait que login et mot de passe peuvent passer en clair malgré le "FTPS".

De plus FTPS fonctionne avec le protocole SSL (ou sa déclinaison TLS). La spécificité de ce protocole est qu'il n'y a aucun authentification, ni coté client, ni coté serveur. Pour faire simple, le client qui se connecte et reçoit le certificat n'a aucun moyen de savoir que c'est bien sur le serveur qu'il désire qu'il est connecté. De même le serveur qui reçoit la demande n'a aucun moyen de savoir qui est le client qui émet la demande et si c'est un client autorisé.

FTPS nécessite 2 connexions sous SSL puisque c'est le flux, une fois la connexion établie, qui est chiffré.
De plus, lorsque la connexion "COMMAND" n'est pas maintenue durant le transfert, il y a un système de reconnexion automatique, et donc à la reconnexion le chiffrage SSL est renégocié avec donc une partie de l'échange en clair au départ.

Concernant SFTP, déjà le protocole utilisé est SSH. Celui-ci est basé sur l'échange de clés privées/publiques. Le client doit présenter une clé propre au serveur, qu'il aura reçu préalablement d'une quelconque manière, mail, courrier, dongle, etc ....
Le serveur lui, même s'il ne connait pas plus le client, peut le considérer comme autorisé, puisqu'il présentera une clé propre au serveur qui aura du lui être fourni volontairement.
(certaines implémentations permettent de gérer plusieurs clés serveur et donc de fournir une clé serveur propre à chaque client).

De plus, avec SSH, le chiffrement ne se fait pas dans la session FTP, mais au niveau des machines elles-mêmes. C'est un tunnel chiffré qui est établi, une sorte de VPN. Ensuite la connexion au serveur FTP, ainsi que tout le trafic passe à travers ce tunnel.

En FTPS, tu peux, par exemple, avoir une attaque MIM avec un serveur pirate qui présente un certificat SSL authentique et qui se connecte lui-même en SSL (ou pas d'ailleurs) sur le serveur FTP de destination. Le client, ni le serveur de destination n'y verront rien, et le serveur pirate peut aspirer tout le trafic.
En SFTP, tu ne peux établir de connexion que sur le vrai serveur à qui appartient la clé que tu présente. Ayant une partie aléatoire dans cette clé, si un serveur pirate s'intercale, il est quasiment impossible qu'il puisse avoir la même clé que le serveur de destination, la connexion depuis le client ne pourra pas se faire. De plus aucune donnée, y compris d'authentification, sur le serveur FTP ne pourra être interceptée puisque le chiffrage SSH sera déjà en place au moment où elles transiteront.

En FTPS, comme HTTPS, le chiffrage est disponible à tout moment pour tout le monde sans distinction, mais sans garantie pour le client de se connecter au bon serveur. Seule une partie de l'échange est chiffré et pas forcément les éléments de d’authentification.
En SFTP, seul les clients autorisés pourront se connecter, à qui il aura d'abords fallu fournir la clé du serveur. Les clients sont sur de se connecter au bon serveur. La totalité de l'échange FTP est chiffrée.
4  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 17/08/2019 à 21:39
alors qu'il existe SFTP et FTPS depuis un certain temps maintenant ?
FTP n'est pas sécurisé. La notion de sécurité ne fait pas partie du protocole. Parler de ftp sécurisé en évoquant SFTP ou FTPS est un abus de langage. Ces 2 implémentations sont a différencier du protocole FTP car n'est faisant pas partie, et sont presque, même, à considérer comme des protocoles à part entière.

FTPS n'apporte rien en matière de sécurité, c'est comme mettre une peinture couleur chair sur une jambe de bois pour la faire passer pour une vrai jambe.

SFTP est un vrai protocole sécurisé sur le principe de FTP. Malheureusement, peu de serveurs l'implémentent, et d'ailleurs peu de clients le supporte.

Mais bon, il n'en faut qu'un client,le principal, Filezilla. Il supporte le FTP, le FXP, FTPS, SFTP, l'IPv6 (et oui, tous les clients ne sont pas forcément compatible IPv6, aussi bizarre et stupide que ça puisse paraitre), ....
3  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 27/11/2018 à 20:43
N'imp'. Je récupère régulièrement des extensions et des packs de langue sur le FTP de... Mozilla, je n'ai pas besoin de sécurité pour cela. Et puis je peux toujours vérifier son empreinte si j'ai un doute sur son intégrité.
1  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 17/08/2019 à 21:21
Citation Envoyé par Olivier Famien Voir le message
Dans les versions récentes de Chrome, le navigateur ne prend en charge ni les connexions chiffrées ni les proxys. Il convient également de préciser que Google a déjà procédé à la suppression de la prise en charge du rendu des ressources et de la récupération de sous-ressources via FTP. Les fonctionnalités restantes de la mise en œuvre FTP dans Google Chrome sont limitées à l’affichage d’une liste de répertoires ou au téléchargement d’une ressource via des connexions non chiffrées.
...
Enfin, pour les développeurs web qui seraient impactés par la suppression du support FTP, Google suggère comme alternative de se tourner vers les protocoles HTTP et HTTPS.
...à lire l'article, le support de FTP et sa maintenance, requiert des ressources conséquentes et présente de grandes difficultés. Moi qui pensait que ce protocole était aussi vieux qu'internet. Ya que moi que ça fait tiquer de présenter FTP désuet car non sécurisé alors qu'il existe SFTP et FTPS depuis un certain temps maintenant ?

[B]Que pensez-vous de cette décision ?[\B]
Que c'est la première fois que j'entend Google énoncer que 0,01% des utilisateurs sur un total se comptant en milliard journalier représente un chiffre ridicule pour qualifier une fonctionnalité de "inutilisé".

[B]Selon vous, Google a-t-il bien (fait) de supprimer le support FTP dans Chrome ?[\B]
Non, encore moins en prétextant que ce protocole est non chiffré ...à croire que SFTP et FTPS n'existent pas. =,='

[B]À défaut du navigateur Chrome, quel client FTP utilisez-vous comme alternative ? Pourquoi ?[\B]
FileZilla, parce qu'il est développé tout spécialement pour cet usage (échanger des fichiers), et est un logiciel "libre", sous licence libre.
1  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 27/11/2018 à 15:49
Le support de FTP peut-il être apporté via les extensions ?
Ça permettrait de réduire les problèmes des deux parties : ceux qui développent le navigateurs, et ceux qui utilisent FTP.
0  0 
Avatar de Mulongo Emmanuel
Nouveau Candidat au Club https://www.developpez.com
Le 28/11/2018 à 8:44
Bonjour à tous, je trouve que la sécurité dépends plus de l'user que du navigateur quand on trouve qu'un truc est pas bon, suffit de le désactiver
0  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 28/11/2018 à 10:39
Si l'utilisateur est un élément prédominant dans les facteurs de sécurité, ce n'est pas le seul.
On peut évidemment recevoir un colis piégé dans un tunnel sécurisé, mais le faire dans un tunnel non sécurisé, est encore pire.

La question que je me pose, c'est quels sont les fonctionnalités fondamentalement différentes entre un échange de données FTP et la même opération par HTTP(s), ainsi que la différence de performance.
N'y a t'il pas moyen d'encapsuler un flux FTP dans du TLS ?
0  0 
Avatar de tes49
Membre averti https://www.developpez.com
Le 02/12/2018 à 11:11
Salut

Dans certains cas autant utiliser un logiciel client de FTP et cela sera donc possible d'utiliser ce protocole, encore pour un bon bout de temps...
Logiciels clients de FTP

Dans une autre situation le FTP à déjà été évoqué... et ma réponse était... https://www.developpez.net/forums/d1...plus-autorise/

Chose qui est certaine, c'est qu'à moyen terme, toutes connexions non-sécurisés vont venir à disparaitre, donc autant commencer à changer ses habitudes !
0  0 
Avatar de zecreator
Membre expert https://www.developpez.com
Le 02/12/2018 à 12:17
Le FTP est un protocole préhistorique et je suis étonné que l'on puisse encore l'utiliser pour l'échange de données sensibles. Il est restrictif, poussif et n'apporte aucune sécurité (même en FTPS). Perso, pour de la manipulation de fichiers à distance, je passe par SSH (PuffY), et pour du partage de fichiers tiers à tiers, je passe par des services sécurisés de stockage de fichiers comme Tresorit ou SecurySafe si je n'ai pas d'autres choix.

Souvent, ceux sont mes clients qui m'imposent leur système de partage, et s'ils me parlent de FTP, je refuse tout net. J'ai plus confiance en ce protocole depuis des années.

Franchement du FTP à travers le navigateur web ? J'ai toujours trouvé cette idée farfelue. Et le fait que cela apporte un coté pratique à certain, le rend encore plus dangereux.
0  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 02/12/2018 à 22:50
je suppose que pour l'usage de SSH tu voulais parler de Putty, et non de Puffy... et par TCPS, tu voulais dire STCP (SSH TCP) ?

Je ne comprends pas ce que tu veux dire. Il est ici question de protocole : le TCP, et tu exposes des alternatives logicielles, qui pour certaines utilisent également TCP.
SSH permet aussi l'usage de TCP, mais en l'encapsulant.

Est-ce que c'est TCP lui même qui te rebute, ou bien la manière dont il est employé ?
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web