В Вто, 19/09/2006 в 17:55 +0300, Mikolaj Golub пишет: > On Tue, 19 Sep 2006 17:38:20 +0300 Покотиленко Костик wrote: > > ПК> В Вто, 19/09/2006 в 16:39 +0300, Mikolaj Golub пишет: > >> On Tue, 19 Sep 2006 15:06:12 +0300 Покотиленко Костик wrote: > >> > >> ПК> Я не пойму почему нельзя было сделать так, чтобы в PASV клиент > >> ПК> конектился к серверу на 20-й порт, как это происходит в ACTIVE > режиме. > >> > >> Видимо из соображений безопасности. PASV и так в этом отношении несекюрен, > >> т.к. после того как клиент послал PASV, атакующий может подсоединиться к > порту > >> перед клиентом, перехватив дата канал. А Вы хотите, чтоб это вообще был > один > >> порт, на котором фтп сервер все время будет слушать и отдавать/получать > данные > >> без всякой там аутентификации-авторизации. > > ПК> Я бы на 20-й пускал только те IP, которые на 21-й PASV просили ;). Можно > > Ага, особенно забавно это будет выглядеть, если клиенты за НАТом.
Правильно, все они будут с одним IP, но если им на PASV куку дать и при коннекте на 20-й её проверять - нет проблем. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
