У меня есть учетная запись веб-хостинга, которая, как мне кажется, является авторитетной и заботящейся о безопасности хостинговой компанией (Siteground). Я использую двухфакторную аутентификацию для входа в свою учетную запись, HTTPS для моего сайта и SSH для перемещения файлов на сервер и с него. Однако у учетной записи также есть то, что кажется незашифрованным FTP-доступом, который нельзя отключить. Я предполагаю, что они знают, что делают, но, похоже, это создает ненужный риск для безопасности:
- Если я войду через FTP, мой пароль может быть скомпрометирован, так как кто-то может увидеть его в открытом виде. Я могу просто не использовать FTP, но, похоже, было бы безопаснее вообще не разрешать соединение.
- Кто-то может взломать мой аккаунт методом подбора, угадывая мой пароль, а ключи 2FA или SSH, используемые для другого доступа к аккаунту, будут бесполезны.
Как я уже сказал, компания, похоже, знает, что делает, но в других отношениях. Может, я что-то упускаю?
решение1
Я с вами согласен. Однако FTP все еще разрешен на многих хостах, потому что это единственный инструмент, который многие используют для передачи файлов. Это компромиссное бизнес-решение для вашей хостинговой компании. Как упомянул Дэниел, самое важное — это ограничение скорости, количество попыток, разрешенных вашими хостами, и ожидание между попытками. Если для них есть разумное ограничение, ваш FTP все еще достаточно безопасен.
Предлагаю вам задать эти вопросы вашему хозяину. Удачи!