文件传输协议 (FTP) 是发送文件所获得的基本方法 - 没有花哨，没有口哨……甚至没有多少安全性可言。 它是在“黑客”这个词与计算机无关的时代发明的，所以问题是，FTP 是时候最终退休了吗？

互联网并不总是像现在这样的雷区，我们必须在点击之前仔细检查每个链接，并不断担心我们的连接有多安全。

安全不再像今天这样令人担忧，黑客不再是一种职业，人们通过电子邮件发送他们的银行详细信息。

所以这意味着在 FTP 的早期，它只有一项工作——将文件从 A 传输到 B。

这可能是从将网站内容上传到服务器（在 WordPress 世界中常用）到从在线存储库下载软件包，甚至只是传输对于电子邮件来说太大的文件。

几十年来，它可能一直是文件传输世界的支柱，但现在有了更现代、更安全的方法，是时候将 FTP 与电报和传真机一起上架了吗？

绝对的，今天我们来看看为什么……

• 中间人攻击
• 为什么 FTP 仍然存在？
  • 人们不喜欢改变
  • FTP 比 SFTP 快
• 一些法规禁止使用 FTP
• FTP 的替代品
• FTP 与 FTPS
• 一路SFTP

中间人攻击

你有没有玩过你和朋友来回扔球，而另一名球员站在中间试图拦截的童年游戏？

这是描绘中间人攻击期间发生的事情的好方法（特别是如果中间人是隐形的！）。

攻击可以有几种不同的形式，但主要概念是两方在彼此之间传递信息，中间有人拼命试图从他们那里抢夺信息。

他们的范围可以从默默地观察数据交换，而攻击者寻找机会利用信息来发挥自己的优势，或者通过在中间建立营地并操纵信息来中断交换。

这意味着，如果正在交易敏感信息，例如银行详细信息或客户信息，攻击者将有机会。

当然，除非数据是加密的。

如果文件是加密的，这不应该引起太大的关注，因为如果中间的男人（或女人）设法拿到文件，它们将完全不可读。

可以把它想象成只能说英语并获得大量精灵语文件，而无法翻译它们。

当涉及到中间人攻击时，关键是保持警惕并承认每当您连接到互联网时，您总是有可能容易受到某种形式的攻击。

在确保您的文件仅通过加密通道发送的同时，一个明智的备份以防您的通信通道被破坏，您应该首先积极尝试防止攻击者访问您的文件。

执行此操作的简单方法包括：

• 使用虚拟专用网络 (VPN)，尤其是在连接到公共网络时
• 不要使用未使用安全密码保护的 WiFi 连接
• 切勿通过公共网络进行金融交易或发送敏感数据
• 小心被浏览器标记为不安全的网站。

如果您采取了所有这些预防措施，但仍然有人设法访问您的文件（这些天黑客真的很聪明——想想机器人先生），至少您有这样一个事实，即您的文件已被加密以供依赖……

...当然，除非您使用 FTP 发送它们。

为什么 FTP 仍然存在？

如果我运行世界，FTP 会立即被扔进垃圾桶。

它已经过时，不安全，而且有其他更安全的替代方案现成可用，很难找到人们仍然依赖它的正当理由。

那么，为什么人们仍然使用它呢？

人们不喜欢改变

FTP 的存在时间比 Internet 还要长。

不，说真的——该规范是在 1971 年编写的，比互联网和万维网创建早了十多年。

因此，近 50 年前创建的概念在 2020 年不能完全满足我们的需求也就不足为奇了。

但是，正如许多开发人员所说的“如果它有效，就不要碰它”。

FTP 仍然做它应该做的事，即它将文件从一台服务器移动到另一台服务器……直到你成为攻击的目标。

把它想象成让你的前门没有上锁。 你知道小偷的存在，你甚至可能知道过去有人闯入过他们的房子，但是当你去商店时，你有没有把门锁着？

无懈可击的错觉或乐观偏见通常是某人未采取适当预防措施的原因。 人们不愿意相信不好的事情可能会发生在他们身上，所以在它发生之前，他们更有可能承担不必要的风险。

有这么多更安全的替代方案，可以肯定地说，在您亲身体验 FTP 的风险之前放弃它是明智的。

FTP 比 SFTP 快

如果您在成为 FTP 多年的忠实用户之后使用 SFTP 连接到服务器，那么与您习惯的速度相比，您可能会对速度下降感到有些失望。

这是因为在使用 FTP 时不存在的 SFTP 传输过程中会发生许多额外的数据包和加密。

有一些东西值得为速度而牺牲，但是，安全性可能不是其中之一。

一些法规禁止使用 FTP

是的，你没有看错。

众所周知，FTP 不是一种安全的文件传输方法，因此许多国家/地区已将其取缔。

有各种规定可以管理和不可以传输数据，包括《健康保险流通与责任法案》(HIPAA)，该法案禁止医疗保健组织及其业务合作伙伴使用 FTP 传输文件。 它指出只能使用 SFTP 进行传输，甚至可能需要满足其他组件以确保合规性。

对于任何形式的卡交易，支付卡行业数据安全标准 (PCI-DSS) 规定只有在绝对必要时才应通过 FTP 发送卡详细信息，并要求发送方记录传输的全部详细信息，包括端口和防火墙设置和使用此方法背后的原因。

通用数据保护条例 (GDPR) 将个人数据定义为与“已识别或可识别的自然人（‘数据主体’）”相关的任何数据。 这意味着它包括有关个人的数据，例如“姓名、身份证号、位置数据、在线标识符或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个因素人。”

有很多信息可以属于这一类，所以最好安全地使用它而不是抱歉。 即使您认为您发送的数据不是特别有价值，您也应该在选择 FTP 之前检查以确保它不属于 GDPR 或其他类似法规的范围。

更好的是，您可以永久改用另一种方法。

底线是，如果您发送的数据是机密的、敏感的，或者包含任何如果落入坏人之手会很危险的信息，那么 FTP 就不够用了。

FTP 的替代品

我可以整天坐在这里，大肆宣扬一劳永逸地装箱 FTP 并切换到更安全的东西的重要性，但如果这会带来很多额外的麻烦或需要额外的工具或成本，我知道很多人赢了不要被说服。

好消息是其他文件传输方法在用户端看起来完全一样。

您实际上可以使用相同的客户端并遵循相同的步骤——您只需告诉客户端您使用的是哪种方法。

正如您从屏幕截图中看到的，有一个使用普通 FTP 的选项，但是，它会警告您它不安全。

只有端口号应该不同——在用户端，无论您使用哪种方法，界面看起来都是一样的，因此实际上没有理由选择不安全的 FTP 选项。

FTP 与 FTPS

FTPS（安全文件传输协议）是您的简单 FTP，增加了 TLS（传输套接字层）或 SSL（安全套接字层）的安全性。

这个额外的安全层确保连接使用证书进行身份验证，以便客户端和服务器可以形成可信且安全的连接。

只要存在所需的证书，这就提供了良好的保护水平。

当然，始终建议您在网站上拥有证书，以向访问者保证其合法性并确保连接安全，但如果无法做到这一点，例如，您正在将文件上传到您当前正在工作的新网站上，SFTP 可能是更好的选择。

一路SFTP

所以我们已经多次提到 SFTP，但让我们快速了解一下它的确切含义。

安全文件传输协议 (SFTP) 还具有 FTP 无法受益的一层保护，它以安全外壳 (SSH) 连接的形式出现。

当您使用 SSH 连接时，您的文件会被加密，并且只能使用收件人的 SFTP 客户端将持有的密钥进行解密。

这意味着尽管接收服务器可能没有通过像 FTPS 那样的证书进行身份验证，但您的文件在传输过程中是“防弹”的，因为它们是完全加密和保护的。

如果您已经读到这里，并且仍然认为 FTP 在当今的在线环境中具有任何形式的价值，那么我很欣赏您的承诺。

但是，如果您没有使用 FTP 的真正理由，我建议您查看我们最近的博客，该博客探讨了 SFTP 的来龙去脉并向您展示了如何使用它（提示：它与FTP，除了端口号和额外的安全性）。

如果这不能改变你的想法，至少我试过了！

• 文件下载
• FTP
• 上传