-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 03-01-2008 06:43, PinguimRibeiro wrote:
> Na configuração que utilizei, a segurança é fornecida pelo layer TLS/SSL, não
> propriamente pelo ProFTPD. 

        Isso serve para autenticação de segurança e transporte de dados,
mas não serve para evitar ataques the "path injection" por exemplo, ou
seja, se quiser segurança, o ProFTPD não é a melhor alternativa (e isso
há muitos anos).

        Basta olhar o histórico de falhas de segurança do ProFTPD e no
vsftpd para ter uma idéia do que estou falando.


> Assim, é tão segura como qualquer outra configuração
> que utilize TLS/SSL como camada de transporte seguro: https, Imaps, etc.
> (Configurações utilizadas por milhões diariamente para ver o correio
> electrónico, apenas para dar um exemplo.)

        TLS/SSL são aplicações para transporte de dados e podem _ajudar_
na segurança, não adianta nada o canal ser seguro se a outra ponta é
incompente para lidar com os dados e lidar com vetores de ataque, ainda
mais quando lidando com sistemas de arquivos e caminhos relativos.


> No entanto, quando pretendo algo realmente seguro, utilizo SSH, com o que 
> posso
> também transferir ficheiros.

        Excelente, o SSH (e sftp) são bons exemplos de ferramentas que
além de utilizar criptografia no transporte de dados, são aplicações
seguras.

Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHfZIRCjAO0JDlykYRArStAJ41DIKLOeHPtkyktjkKjneWDodSWgCff/Y3
6NGNJ2Gd2tWLCJe6IDkDib8=
=NBBX
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a