带有用户名和密码的 HTML 文件上的 SSL 和 FTP url答案

【问题标题】：SSL and FTP url on HTML file with username and password带有用户名和密码的 HTML 文件上的 SSL 和 FTP url
【发布时间】：2016-10-26 12:38:22
【问题描述】：

我对带有 SSL 证书的 Web 浏览器和服务器上的一个请求/响应有疑问。请想象以下情况（similar question here）：

我希望服务器向用户（在他/她的浏览器中）响应一个 HTML，以访问 FTP 中的一个文件，例如：

<a href="ftp://theftpserver.com/files/acounts.pdf">Download file</a>

在这种情况下，用匿名用户访问不会产生任何问题来访问这个文件，但是如果用户有用户名和密码的访问，把它放在 HTML 上，它不会很安全，例如：

<a href="ftp://username:password@theftpserver.com/files/acounts.pdf">Download file</a>

我想防止服务器和用户之间的这个用户名和密码标签的响应被“某人”捕获并获取用户的用户名和密码。

SSL证书可以解决这个问题吗？或者最好的方法是创建一个仅包含用户名和密码且具有读取属性的目录？

【问题讨论】：

标签： html ssl ftp

【解决方案1】：

是的，SSL 将使其更加安全，因为您与服务器的通信将被加密。如果您有一个 Web 服务器（例如 API 端点）从您的前端接收请求、联系 FTP 服务器、获取文件并用它响应，那就更好了。这样，前端就不需要知道 FTP 服务器。另一个好主意是在发送之前对密码进行哈希处理。

【讨论】：

是否可以在发送之前对密码进行哈希处理，并在后期使用通过 FTP 进行连接？你能告诉我更多关于散列密码和发送之前的信息吗？谢谢
@amelian，我有一个 FTPS 服务器（基于 SSL 的 FTP），正如 Steffen 所说，您无法通过浏览器访问它；需要像 Filezilla 这样的东西。当你想发送一个包含密码的 HTTP 请求时，散列的东西也适用。

【解决方案2】：

使用 SSL（即 HTTPS）提供包含密码的页面有助于保护页面内的密码。但是，您提供的链接是针对 FTP 站点的，如果用户跟随 FTP 链接，密码将不受保护地发送，因为ftp:// 本身不使用 SSL。虽然有带 SSL 的 FTP (FTPS)，但它通常不会在浏览器中实现，因此您无法使用它。最好也使用 HTTPS 而不是 FTP 来提供文件。

【讨论】：

有趣的社区。问题是可能在进程中使用 FTP。我无法阻止此协议的访问。
@amelian：如果您因为害怕嗅探而对 HTML 页面使用 SSL，那么您可能也应该害怕嗅探以访问 ftp:// 链接。在这种情况下，如果另一种攻击与第一种攻击一样有效且容易，那么只保护自己免受一种攻击是没有意义的。