FTP 覚書(セキュリティ関連含む)
FTP(ファイルアップロード)の際の注意点
転送モード
転送モードにはアスキーモードとバイナリモードがあり、両者の違いは簡単に言うと
- アスキーモード … ファイルの改行コードを変換してアップロード
- バイナリモード … ファイルの改行コードを変換せずそのままアップロード
と言う点です。
一般的な転送モード
- アスキーモード
- テキスト系ファイル。拡張子は .cgi、.txt、.dat、.log、.pl、.html、.htm、.css、 .js、.php等。
- バイナリモード
- 画像系ファイル。拡張子は .gif、.png、.jpg、.bmp等。また、.zipなどの圧縮ファイル、C言語で書かれたCGIもバイナリモードで転送。
FFFTPでの転送モードの設定
FFTPではツールバーのアイコンをクリックすることで転送モードを切り替えられます。
「ファ イル名で転送モードを切替」はファイルの拡張子によって自動的に転送モードが切り替わりますが、デフォルトで登録されている拡張子は少ないので必要に応じ て「オプション」→「環境設定」→「転送1」でアスキーモードで転送するファイルの拡張子を追加してあげるとよいでしょう。
パーミッション
パーミッションとは、そのファイルやディレクトリに対するユーザのアクセス権限のこと。
許可対象の「ファイル所有者」「所有者のグループ」「その他」に対し、それぞれ「読み取り」「書き込み」「実行」のどれを許可するかの組み合わせを設定します。
| 許可内容 | 記号 | 数字 |
|---|---|---|
| 読み取り | r | 4 |
| 書き込み | w | 2 |
| 実行 | x | 1 |
パーミッションの三桁の数字は「ファイル所有者」「所有者のグループ」「その他」に対して許可する内容の合計の数値です。
例)パーミッション 755
| ファイル所有者 | 所有者のグループ | その他 |
|---|---|---|
| 読み取り(4)+書き込み(2)+実行(1)=7 | 読み取り(4)+実行(1)=5 | 読み取り(4)+実行(1)=5 |
よく使われる設定値と該当ファイル
- 755 or 705
- .cgi、.pl
- 666 or 606
- .log、.dat、ログファイル(随時書き換えられるファイル)
- 644 or 604
- .html、.htm、.css、.js、(.pl)、画像ファイル全般、他人に書き換えられると困るファイル
利用するサーバやCGIによって詳細なパーミッションは変わってくるのでマニュアルやヘルプなどを参照すること。
FFFTPでのパーミッションの設定
パーミッションを変更したいディレクトリまたはファイル名を右クリック、「属性変更(A)」をクリック。
各許可対象の許可内容のチェックボックスのチェックをつける / はずすか、下の「現在の属性」横の数字を直接変えるかして「OK」をクリック。
FFFTP 及び FTP 接続ではセキュリティが不安?
2009~2010年に、「(感染している)サイトを見ただけでウィルスに感染し、そのパソコンで FTP クライアントが保存しているパスワードを抜かれてページを改ざんされる、というウィルス被害が多くありました。その際、「 FTP クライアントの代表格である FFFTP を使っているとウィルスに感染する」という誤った認識が広まり、「FFFTP を使っていたからサイトを削除」「FFFTP しか使えないから更新停止」などの過剰反応もちらほら見かけました。
現在はそのような誤解(FFFTP「だけ」が危ない)もおさまり、FFFTP 配布元でも対策(マスターパスワード機能を装備)されたバージョンが公開されています。まずはパソコンのセキュリティ対策をしっかりすることが第一です(当たり前のことなんだけど、当時の騒ぎの中ではそれは二の次で FFFTP を使うのをやめれば万事解決っぽい考えの人を見かけたので一応)。
FTP 接続がセキュリティ的に不安な理由
そんな中で「そもそも FTP 接続な時点でセキュリティ的に不安」という意見も。これはFTP 接続が「情報を平文(暗号化なし)で送信している」からです。FTP 通信を盗聴できるようなウィルスに感染した場合、接続した途端にID・パスワードを盗まれる危険性があります。
より安全にファイルを転送するには
より安全にファイルを転送する接続方法として以下のものがあります。
- SFTP(Secure FTP)
- FTPS(FTP over SSL/TLS)
- SCP(SeCure CoPy)
ただし、これらの方法はクライアントソフトだけでなくサーバー側も対応していなければ使うことができません。多くの無料サーバー・安価なサーバーでは未対応なことも多いようです。
重複になりますが、「ウィルスを撒くサイトの管理人」にならないためにはまずパソコンのセキュリティ対策をしっかりと!が基本だと思います(アンチウィルスソフトの導入・各種アップデートなど)。
