В Вто, 19/09/2006 в 20:18 +0400, Artem Chuprina пишет: > Покотиленко Костик -> Mikolaj Golub @ Tue, 19 Sep 2006 18:03:04 +0300: > > >> >> ПК> Я не пойму почему нельзя было сделать так, чтобы в PASV клиент > >> >> ПК> конектился к серверу на 20-й порт, как это происходит в ACTIVE > режиме. > >> >> > >> >> Видимо из соображений безопасности. PASV и так в этом отношении > несекюрен, > >> >> т.к. после того как клиент послал PASV, атакующий может > подсоединиться к порту > >> >> перед клиентом, перехватив дата канал. А Вы хотите, чтоб это вообще > был один > >> >> порт, на котором фтп сервер все время будет слушать и > отдавать/получать данные > >> >> без всякой там аутентификации-авторизации. > >> > >> ПК> Я бы на 20-й пускал только те IP, которые на 21-й PASV просили ;). > Можно > >> > >> Ага, особенно забавно это будет выглядеть, если клиенты за НАТом. > > ПК> Правильно, все они будут с одним IP, но если им на PASV куку дать и при > ПК> коннекте на 20-й её проверять - нет проблем. > > Что, понятно, не упрощает протокол. На самом деле, тогда не столько о > безопасности думали, сколько такая особенность протокола позволяла (да и > сейчас, в общем, позволяет, только сейчас это в норме делают иначе) load > balancing. В команде PORT может присутствовать отнюдь не адрес того > сервера, с которым ты общаешься по 21 порту. Причем в отличие от > нынешних методов балансирования, этот позволяет принимать решение по > каждому файлу в отдельности.
Тоже вариант :-) -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
