-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 03-01-2008 06:43, PinguimRibeiro wrote:
> Na configuração que utilizei, a segurança é fornecida pelo layer TLS/SSL, não
> propriamente pelo ProFTPD.
Isso serve para autenticação de segurança e transporte de dados,
mas não serve para evitar ataques the "path injection" por exemplo, ou
seja, se quiser segurança, o ProFTPD não é a melhor alternativa (e isso
há muitos anos).
Basta olhar o histórico de falhas de segurança do ProFTPD e no
vsftpd para ter uma idéia do que estou falando.
> Assim, é tão segura como qualquer outra configuração
> que utilize TLS/SSL como camada de transporte seguro: https, Imaps, etc.
> (Configurações utilizadas por milhões diariamente para ver o correio
> electrónico, apenas para dar um exemplo.)
TLS/SSL são aplicações para transporte de dados e podem _ajudar_
na segurança, não adianta nada o canal ser seguro se a outra ponta é
incompente para lidar com os dados e lidar com vetores de ataque, ainda
mais quando lidando com sistemas de arquivos e caminhos relativos.
> No entanto, quando pretendo algo realmente seguro, utilizo SSH, com o que
> posso
> também transferir ficheiros.
Excelente, o SSH (e sftp) são bons exemplos de ferramentas que
além de utilizar criptografia no transporte de dados, são aplicações
seguras.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHfZIRCjAO0JDlykYRArStAJ41DIKLOeHPtkyktjkKjneWDodSWgCff/Y3
6NGNJ2Gd2tWLCJe6IDkDib8=
=NBBX
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
