NET::FTPモジュールでのFTP接続のセキュリティに関して。

ローカルサーバ仕様：WIN98SE,Apache,Active Perl

ローカルサーバ内にNET::FTPモジュールを使用し、
レンタルサーバに置いてあるデータを書きかえるようなCGIを作成したのですが、

１．ローカルサーバのプログラム内でFTPアカウント、パスワードが
丸裸で書かれている状態になっています。

２．レンタルサーバへFTP接続する通信の際にも、パスワードは丸裸で転送される
ことになるのですよね？。

上記2点はセキュリティ上問題があると思うので、
解決法、アドバイスなど有ればお教えください。

No.3 ベストアンサー 回答者： noname#25358 回答日時： 2003/01/08 09:19

>プロトコルレベルでの対処とはローカルサーバ側の改善のみで可能なのでしょうか？

　普通に考えれば無理です(^_^;
　プロトコルというのは、サーバーとクライアント（この場合はローカルサーバー）の通信規約のことですから、この２つが協力しないといけません。
　「プロトコルレベルで」というのはそういう意味です。

　ＦＴＰはパスワードなんかを暗号化するようなプロトコルではなかったと思うので、よってＦＴＰソフトはパスワードを丸はだかで送信しているはずです。
　その丸はだか状態を何とかしようってんで考えられたのがＨＴＴＰｓだったり、ｓＦＴＰだったり、メールでいえばＥＳＭＴＰなわけです。

この回答へのお礼

回答ありがとうございます。
非常に参考になりました。
また、何か有ればよろしくお願いします。

お礼日時：2003/01/10 02:40

No.2 回答者： osamuy 回答日時： 2003/01/07 09:40

1.については、ローカルサーバのセキュリティが保たれていれば、問題ないでしょう。

2.については、deagleさんが回答されているとおり。
HTTPSやSFTPなどセキュアなプロトコルを使うか、VPNやIPsecなど通信路自体を暗号化する必要があります。
まあ、レンタルサーバ側の都合でそこまで出来ない場合は、まめにパスワードを変更するしかないでしょう。

この回答への補足

回答ありがとうございます。

現在使用しているローカルサーバでは https は
使用できず、レンタルサーバ側も一切触ることができない
状態です。

セキュアなプロトコルを使うという方向で考えた場合、
ローカルサーバ側での対処のみでなんとかなるものなのでしょうか？

それと、板違いかもしれませんが、
妥協案としてお尋ねしたいのですが、
FFFTPやNextFTPはFTP通信中はパスワードなど暗号化
された状態で通信されているのでしょうか？

ご存知でしたらお教えください。
よろしくお願いいたします。

補足日時：2003/01/08 02:02

No.1 回答者： noname#25358 回答日時： 2003/01/07 09:26

　そもそもＦＴＰやＨＴＴＰはセキュリティが甘いです。

　よって、プロトコルレベルでの対処は少々難しいでしょう。

　レンタルサーバーにＣＧＩを置いて、ローカルサーバーからそのレンタル側ＣＧＩへＨＴＴＰでアクセスするようにする、というのが一番単純でしょう。
　レンタル側とローカル側で、暗号でやりとりするわけです。
　要はＨＴＴＰｓプロトコルを独自に組むような感じになるわけですが。

この回答への補足

回答ありがとうございます。

現在レンタルサーバーではCGIが設置できません。
そのため、HTTPでの処理はできません。
説明不足でした。すいません。

また、現在使用しているローカルサーバのApache には
https の機能は使用できないものになっています。
プロトコルレベルでの対処とはローカルサーバ側の改善
のみで可能なのでしょうか？

それと、板違いかもしれませんが、
妥協案としてお尋ねしたいのですが、
FFFTPやNextFTPはFTP通信中はパスワードなど暗号化
された状態で通信されているのでしょうか？

ご存知でしたらお教えください。
よろしくお願いいたします。

補足日時：2003/01/08 01:35