কেন অধিবেশন FTPS দরকারী পুনঃব্যবহার?


1

আমি লক্ষ্য করেছি যে সমস্ত FTPS ক্লায়েন্ট সেশন পুনঃব্যবহার সমর্থন করে না এবং আমি অবাক হয়েছি যে এটি একটি গুরুতর নিরাপত্তা বিকল্প যা সার্ভারে সক্ষম থাকা উচিত।

আমার অনুমান হল যে কোনও আক্রমণকারী যদি ডাটা পুনঃব্যবহার বিকল্পটি সক্ষম না থাকে তবে নিয়ন্ত্রণ এবং ডেটা সংযোগের জন্য SSL / TLS ব্যবহার করা হলেও ডেটা সংযোগটি হাইজ্যাক করা সম্ভব। যে কেউ এই নিশ্চিত / অনুমোদন সাহায্য এবং আরো বিস্তারিত ব্যাখ্যা দিতে পারে?

আমি এই পাওয়া যায়: ভি ইউ # 2558 ফাইল ট্রান্সফার প্রোটোকল PASV মোড রেস অবস্থায় মাধ্যমে ডেটা সংযোগ হাইজ্যাকিংয়ের অনুমতি দেয় এটি প্রাসঙ্গিক কিনা তা জানা থাকলেও এটি SSL / TLS উল্লেখ করে না।

উত্তর:


3

আপনার অনুমান সঠিক। TLS অধিবেশনের পুনঃব্যবহার আপনাকে একটি তাত্ত্বিক সম্ভাবনা থেকে রক্ষা করে যে কোনও আক্রমণকারী একটি FTP ডেটা সংযোগ হাইজ্যাক করে।

যখন আপনি একটি ডেটা স্থানান্তর শুরু করেন, সার্ভার সার্ভারে (একটি প্যাসিভ মোডে) একটি ডাটা সংযোগ পোর্ট খোলে। একটি সম্ভাব্য আক্রমণকারী পোর্টটি অনুমান করতে এবং আপনার FTP ক্লায়েন্টের সাথে সংযোগ স্থাপন করতে পারে, আপনার ডেটা চুরি করতে পারে।

সার্ভারের জন্য যদি একই TLS অধিবেশনটি ডাটা সংযোগের জন্য ব্যবহার করা হয় তবে আক্রমণকারী তার নিজস্ব TLS অধিবেশন শুরু করতে পারবে না, ডেটা ডিকোডিং করতে বাধা দেবে।


টিএলএস সেশন পুনরায় ব্যবহার করার আরেকটি সুবিধা হল একটি কর্মক্ষমতা যা আপনাকে প্রতিটি ডাটা সংযোগ / ফাইল স্থানান্তরের জন্য একটি নতুন টিএলএস হ্যান্ডশেক করতে হবে না। আপনি ছোট ফাইল অনেক স্থানান্তর যদি বিশেষ করে কি ব্যাপার।


দ্য দুর্বলতা আপনি পড়ুন আসলে সমস্যাটির একটি সুপারসেট টিএলএস সেশন পুনঃব্যবহার প্রতিরোধ করার চেষ্টা করে।


2

কিছু সার্ভার ক্লায়েন্টদের নিয়ন্ত্রণ এবং ডেটা সংযোগগুলির জন্য একই এসএসএস অধিবেশন ব্যবহার করার আশা করে। সেই অধিবেশন ছাড়াও পুনঃব্যবহার সংযোগগুলিকে গতি বাড়ায় কারণ এটি একটি SSL সংযোগ স্থাপন করতে প্রয়োজনীয় রাউন্ড-ট্রিপগুলির সংখ্যা হ্রাস করে। এটি এমন হতে পারে যে ক্লায়েন্ট যা সেশন পুনঃব্যবহার সক্ষম করার জন্য একটি সুস্পষ্ট সুইচ ব্যবহার করে না কেবল ব্রাউজারের মতই এটি ব্যবহার করে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.