【发布时间】:2018-08-21 19:36:38
【问题描述】:
使用 Apache Commons-Net 的 FTPSClient 连接到现代 FTP/S 服务器不起作用。原因是它们需要 SSL 会话重用,即来自控制连接的 SSL 会话需要重用于数据连接。
这通常可以在服务器中停用,但那是
- 不安全
- 并非总是一种选择(因为服务器可能不受您的控制)
正确的解决方案是让客户端真正重用会话。 Commons-Net 有一个open bug,但它看起来不会很快得到解决。
此外,还有一个由 Cyberduck(一个 FTP 客户端应用程序)的作者创建的“反射黑客”,在 in their bugtracker 以及更深入的 blog post 中进行了描述。还有一个相关的post on StackOverflow 描述了这个解决方案。他们使用反射来访问JDK的SSLSessionContext的内部缓存并注入一个新条目。
在 JDK 8u161 和 9.0.4 (?) 之前,此 hack 一直运行良好,其中引入了一些 SSL 更改,这些更改在 changelog 中进行了描述。显然,一些实现细节已经改变,导致黑客不再起作用。
据我所知,现在有以下几种选择:
- 继续使用 JDK 8u152,直到有人找到解决方案/apache-commons-net 得到修补/JDK 更改被回滚(这不是一个真正的选择,因为这会切断生产系统的安全更新)
- 使用不同的 FTPS 客户端(我能找到的唯一替代方案是专有的并且非常昂贵)
- 尝试对
SSLSessionContext实现的更改进行逆向工程以找到新的解决方法。这不仅看起来像是一项艰巨的任务 - 解决方案可能会再次变得老套,因此随时可能再次崩溃。 - 不要再使用 FTP/S
任何人都可以建议如何在这里进行吗?
相关链接:
【问题讨论】:
-
这不应被标记为重复;这个问题引用了另一个问题并解释了它如何在 8u161 中不再起作用。
标签: java ftp ftps apache-commons-net