Mozilla verwijdert ftp-functie uit Firefox 90

Mozilla verwijdert de ftp-functie definitief uit Firefox 90, die in juni moet uitkomen. Dat laat de ontwikkelaar weten op zijn website. Mozilla kondigde eerder al aan dat deze functie uit Firefox zou verdwijnen, maar meldde niet eerder wanneer dit precies zou gebeuren.

Mozilla laat in een blogpost weten dat de functie vanaf Firefox 88 standaard wordt uitgeschakeld, hoewel gebruikers de functie vervolgens nog kunnen inschakelen via de about:config-pagina, met de network.ftp.enabled-optie. In Firefox 90 wordt de functie definitief verwijderd. De bijbehorende flag wordt in die versie read-only, waardoor gebruikers de functie niet langer handmatig kunnen inschakelen.

Mozilla laat weten dat ftp is toegevoegd aan de lijst met protocol_handlers. Daardoor krijgen gebruikers de optie om ftp://-links te openen in een externe applicatie, wanneer deze in de browser worden ingevoerd. De browser zelf biedt dus geen toegang meer tot dergelijke ftp-sites.

Het verwijderen van ftp uit Firefox komt niet als een verrassing. Mozilla meldde vorig jaar al dat de functie in 2021 uit de webbrowser gehaald zou worden. De functie zou standaard worden uitgeschakeld in Firefox 77, maar Mozilla stelde dit later uit. Ftp is sinds versie 88 standaard uitgeschakeld in de Chrome-browser van Google en wordt in Chrome 91 uit de codebase verwijderd.

Reacties (183)

enzozus 17 april 2021 20:33

Het FTP protocol was gister precies 50 jaar oud. Wat een verjaardagscadeau zeg

https://www.filestash.app/2021/04/16/ftp-is-50-years-old/

bdbfz @enzozus • 18 april 2021 10:14

En het was zowat de enige overlevende service die nog herinnerde aan de enkelrichting TCP verbindingen van het oer-internet. 21 heen, 20 terug, zo was het origineel bedoeld.

beerse

Mozilla

@bdbfz • 18 april 2021 13:04

Bijna goed; Poort 20 is voor de gegevens, poort 21 is voor de controle/aansturing. De gegevens op poort 20 gaan elke richging op, poort 21 is voor de aansturing. Het is met ftp mogelijk om vanuit A aangestuurd, gegevens rechtstreeks van B naar C te sturen, Daarbij wordt van A naar B en van A naar C een verbinding op poort 21 opgezet, de data gaat van B naar C via poort 20.

bdbfz @beerse • 18 april 2021 15:43

Dat is inderdaad hoe het werkt. Maar hoe het bedoeld was, is 1 poort voor heen-verkeer en 1 poort voor terug-verkeer. Die enkelrichting proto-TCP is ook de reden waarom alle "vroege" services op oneven poortnummers draaien. Bekijk /etc/services maar even. SSH is de eerste in /etc/services op een even poort (22), en da's natuurlijk geen "vroege" service (pas ontwikkeld in 1995). Ook Gopher en HTTP zitten op een even poort, maar ook die waren er niet van bij het begin.
Ook in sockets zie je dat terug: https://tools.ietf.org/html/rfc147 (7 mei 1971) :

SUBJECT: The Definition of a Socket

A socket is defined to be the unique identification to or from which
information is transmitted in the network. The socket is specified as a 32
bit number with even sockets identifying receiving sockets and odd sockets
identifying sending sockets.

Over de voorloper van TCP (NCP): https://news.ycombinator.com/item?id=14178776

[Reactie gewijzigd door bdbfz op 23 juli 2024 09:36]

beerse

Mozilla

@bdbfz • 19 april 2021 09:11

Dat er een eigen kanaal voor heen en een eigen kanaal voor terug is klopt. Het data kanaal is altijd naar poort 20. De bron poort is altijd in de vrije reeks van uitgaande poorten. In de regel heeft communicatie niet direct controle over de poort waar het vandaan komt.

In /etc/services (C:\Windows\System32\drivers\etc\services op msWindows) staat bij mij nog steeds op poort 20: ftp-data en poort 21 ftp-control. En op basis daarvan heb ik in het verleden de nodige gegevens overgestuurd.

Toegegeven, dat van de oneven poort nummers had ik niet op mijn netvlies, omdat tegenwoordig meestal voor de uitgaande (zendende) kant een poort nummer uit de vrije reeks gebruikt wordt. Maar dat is inderdaad protocol afhankelijk.

[Reactie gewijzigd door beerse op 23 juli 2024 09:36]

bartje 17 april 2021 17:11

Een beetje vreemd besluit.
Ik kan dan ftp openen met edge of chrome. Maar dan verlaat ik ff en kan ik toch door gaan met browsen. Ik denk dat zoiets marktaandeel gaat kosten.

Omega @bartje • 17 april 2021 17:18

Het is helemaal geen raar besluit, FTP wordt vrijwel niet meer gebruikt omdat het onveilig (Als-in kwetsbaar voor externe aanvallen) is. Andere browsers zoals Chrome/Chromium hebben het recent ook al uitgeschakeld. Alles dat nu nog op FTP draait moet gewoon overgaan op HTTP/HTTPS.

[Reactie gewijzigd door Omega op 23 juli 2024 09:36]

Zer0 @Omega • 17 april 2021 17:49

Alles dat nu nog op FTP draait moet gewoon overgaan op HTTP/HTTPS.

FTP is net zo (on)veilig als HTTP, dus daar naar overgaan is wat veiligheid betreft totaal nutteloos..
En FTPS is de FTP versie van HTTPS, makkelijker om daar naar over te gaan als het om veiligheid gaat.

Luxicon @Zer0 • 17 april 2021 23:22

@Zer0 @supersnathan94 Bedoel je toevallig SFTP? SFTP = FTP over SSH. HTTPS = TSL over HTTP. Dat is geen SSL meer voor zover ik weet.

[Reactie gewijzigd door Luxicon op 23 juli 2024 09:36]

Zer0 @Luxicon • 17 april 2021 23:41

Nee, ik bedoel echt FTPS.
FTP over SSL, officieel FTPS en ook bekend als FTP Secure en FTP-SSL, is een uitbreiding voor het veelgebruikte file transfer protocol (FTP) dat ondersteuning voor Transport Layer Security (TLS) en Secure Sockets Layer (SSL) biedt.
SFTP heeft behalve de naam niet veel met FTP(S) te maken.

paradoXical @Zer0 • 18 april 2021 00:48

Niet om vervelend te doen, maar SSL is een verouderd protocol en reeds vervangen door het veel veiliger TLS. SSL kun je ook afstrepen. Ik weet het, in de ICT wereld praat men anno 2020 nog altijd over 'SSL' - een term uit het verleden.

Zer0 @paradoXical • 18 april 2021 01:17

Niet om vervelend te doen, maar er staat toch duidelijk in de quote dat FTPS ook Transport Layer Security (TLS) ondersteunt...
Maar om het wat duidelijker voor je te maken:
FTPS (also known FTP-SSL, and FTP Secure) is an extension to the commonly used File Transfer Protocol (FTP) that adds support for the Transport Layer Security (TLS) and, formerly, the Secure Sockets Layer (SSL, which is now prohibited by RFC7568) cryptographic protocols.

TLS is dus al enige tijd de standaard voor FTPS

paradoXical @Zer0 • 18 april 2021 09:06

My bad, natuurlijk logisch dat de opvolger van SSL geïmplementeerd is. Iets te snel gelezen

Ik gebruik zelf dagelijks sftp, voor mij eigenlijk de facto standaard! Dank voor de verduidelijking.

Luxicon @Zer0 • 17 april 2021 23:44

Oke, helder, dat protocol was ik nog niet bekend mee. Tijdens het behalen van certificaten wordt FTP aangehaald, en SFTP. Daarnaast ook HTTPS, waarbij specifiek wordt aangegeven dat dit geen SSL meer betreft, maar TSL. Vandaar dat ik daar over begon.

arjan1995 @Luxicon • 18 april 2021 21:46

SFTP heeft inderdaad weinig weg van FTP maar wel heel veel van SSH (en het daaraan verwante SCP). Standaard poort hiervoor is dus ook 22 en niet 21. En naast user/ww kan je er dus ook met een public/private key pair mee verbinden, wat eigenlijk qua veiligheid een must is (zeker wanneer je gevoelige data naar een server gaat kopieren).

FTPS is inderdaad wél FTP maar dan over een SSL-verbinding (zoals Zer0 hierboven al aangaf).

Tomatoman @Zer0 • 18 april 2021 21:36

Ik weet niet wat je bron is, maar gezien de tekst

het veelgebruikte file transfer protocol (FTP)

is het ofwel een nogal oude bron ofwel een nogal bevooroordeelde bron. FTP en de veiligere varianten daarvan worden inmiddels vrijwel niet meer gebruikt. Het is dan ook niet zo raar dat moderne browsers de ondersteuning laten vallen. De vraag hoe veilig FTPS en SFTP zijn, is daarbij in feite niet meer relevant.

Zer0 @Tomatoman • 18 april 2021 21:54

Ik heb het argument van veiligheid niet op tafel gelegd, ik weerspreek alleen dat argument. Voor browsers is het inderdaad niet echt relevant. Ik gebruik sowieso meestal gewoon ftp op de commandline, of een dedicated ftp client.
Als je denkt dat de (on)veiligheid van FTP niet relevant is moet je op Omega reageren, niet op mijn post.

supersnathan94

@Luxicon • 18 april 2021 01:16

Nee zoals @Zer0 hieronder ook al van Wikipedia kopieert bedoel ik echt FTPS

SSL is idd sterk verouderd en niet per se meer veilig nee. Wordt eigenlijk door geen een browser meer geaccepteerd ook volgens mij. Tenminste. Niet meer voor HTTPS. Dat is nu allemaal TLS1.2 en 1.3.

Zie ook: https://www.globalsign.com/nl-nl/blog/ssl-vs-tls-verschil

SFTP is echter wel een ander protocol waarbij je idd een SSH tunnel gebruikt.

Wat men in bedrijfstoepassingen nog wel eens wil gebruiken is tweezijdige certificaat verificatie. Beide partijen wisselen dan certificaten uit die gebruikt worden om de verbinding te signeren. Dat werkt echter alleen als je weet wie. Meestal dus een beperkt groepje.

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 09:36]

terror538 @Luxicon • 17 april 2021 23:34

FTPS is gewoon FTP over een TLS verbinding.

McBacon @Luxicon • 19 april 2021 15:21

HTTPS is HTTP over TLS, niet andersom. Het applicatieprotocol is HTTP en als beveiliging gebruik je SSL/TLS. ;]
/mierenneuken off

Calypso @Omega • 17 april 2021 17:29

Niet helemaal eens met je beweringen. Zelf kom ik FTP helaas nog met enige regelmaat tegen, vooral omdat niemand zich erom bekommerd, en "het werkt nu toch". Meestal snappen ze mijn argumenten wel, maar met logge organisaties is het lastig om zoiets uitgefaseerd te krijgen.

Wat betreft overgaan, ja, mee eens. Maar HTTPS (ik laat HTTP maar even buiten beschouwing, want de bezwaren die je tegen FTP hebt zijn vaak ook van toepassing op HTTP) is een protocol voor een compleet ander doel, en veel van de toepassingen die nu via FTP verlopen zullen niet (of niet makkelijk) via HTTPS kunnen.

Omega @Calypso • 17 april 2021 19:03

Ik verwijs niet naar encryptie maar naar de kwetsbaarheid van de FTP standaard. In tegenstelling tot HTTP/2 is de FTP standaard kwetsbaar voor een aantal aanvallen.

Hier is een email op een mailinglist uit 1999 waar enkele aanvallen worden genoemd en beschreven.
https://tools.ietf.org/html/rfc2577

mae-t.net @Omega • 17 april 2021 22:31

Op alle protocollen zijn aanvallen mogelijk. Je kunt ervan uitgaan dat die in doorontwikkelde implementaties niet aanwezig zijn.

sander_vk @mae-t.net • 18 april 2021 07:59

Dat is nogal naief... je zou er wel van uit kunnen gaan dat de kans kleiner wordt.

RedPixel @Omega • 17 april 2021 21:50

Een RFC van de IETF is wel even wat anders dan "een email" hoor. Dat zijn officiële publicaties van de mensen die het internet ontwerpen.

kodak @Omega • 17 april 2021 22:16

Er staat niet voor niets dat het om kwetsbaarheden gaat om te overwegen bij het implementeren. Een protocol blijkt wel vaker risico's te hebben als je het verkeerd gebruikt. Dat is net zo goed van toepassing op HTTP2. De overwegingen maken duidelijk waar je maar beter rekening mee kan houden, niet dat het hoe dan ook een probleem is omdat het in het protocol staat.

Ik lees Mozilla niet aantonen dat implementaties van FTP niet goed zouden zijn en er daarom een onacceptabel risico voor gebruikers is. Ook lijkt er nu niets anders dan in de afgelopen bijna 20 jaar dat Firefox bestaat. Dus er lijkt niet zomaar meer risico te zijn dan anders. Dan heeft Mozilla toch wel het een en ander uit te leggen dat ze het bijna 20 jaar wel prima vinden en het nu in enkele versies geheel zou moeten verdwijnen.

beantherio @Omega • 17 april 2021 17:38

FTP is niet inherent onveiliger dan HTTP/HTTPS. Met die laatste protocollen kun je nog steeds gevaarlijke troep binnen halen. En encryptie (als je daar naar refereert) kun je ook op FTP toepassen.

supersnathan94

@Omega • 17 april 2021 22:39

Maar wat is er mis met FTPS als vervanger? Dat is ook SSL bovenop het protocol. Net als bij HTTPS. Ik vraag me dan ook af of dat nog wel werkt.

TheToolGuy @Omega • 17 april 2021 18:39

"... FTP wordt vrijwel niet meer gebruikt omdat het onveilig is ..."

Ik gebruik Chrome niet meer omdat het teveel data onderschept EN knetterhard DNS via Google gebruikt ...
(onveilig dus...)

henk717 @bartje • 17 april 2021 17:17

FTP wordt momenteel ook al niet meer ondersteund door Chrome, erg vervelend voor mensen die met oudere software werken die vaak nog op FTP servers wordt gehost. Als ik met dergelijke oude drivers bezig ben moet ik nu soms terugvallen op Internet Explorer om een prettige browser ervaring te hebben.

Skalders @henk717 • 17 april 2021 17:33

Gewoon een programma zoals Filezilla gebruiken. Heb zelf nooit graag de browser gebruikt als FTP cliënt.

System @Skalders • 17 april 2021 18:12

dit, waarom klooien in een browser als het met een portable filezilla zoveel beter gaat.

WoutervOorschot

@System • 17 april 2021 19:16

Omdat de meeste mensen ftp nodig zouden hebben voor een downloadje? Waarom een volledig file-managementprogramma installeren als je gewoon iets wilt downloaden.

Ik snap de reden ook niet echt, ftp is een uitontwikkeld protocol en er zit genoeg onzin in firefox (dus voor snelheid/grootte hoef je t niet te doen)

Ulas @WoutervOorschot • 18 april 2021 09:24

Misschien ben ik ouderwets, maar hoe uploaden mensen tegenwoordig bestanden naar hun webhost dan?

The Underminer @Ulas • 18 april 2021 11:54

Filezilla. Sowieso kon je de browser al niet gebruiken om met ftp te uploaden lijkt me?

Ulas @The Underminer • 18 april 2021 12:43

Ja ik doe het via WinSCP maar omdat mensen zeggen dat ftp verouderd en onveilig is.

McBacon @Ulas • 19 april 2021 19:32

De naam WinSCP is een beetje misleidend; het kan ook werken met SFTP en FTP(S), niet alleen SCP. Verder heb je in het algemeen de volgende manieren om shit te uploaden bij een willekeurige webhoster:

Ingebouwde file managers ingebouwd in een control panel als DirectAdmin/Plesk/cPanel, of iets wat ze zelf gemaakt hebben. Dit is (als je geen antieke versie hebt) gewoon drag and drop en ondersteunt vaak ook meerdere files tegelijk, maar hele mappen uploaden werkt vaak weer niet.
Als je echt veel files hebt dan is het bovenstaande natuurlijk niet zo handig, in dat geval kun je meestal ook een .zipje uploaden en direct uitpakken via de file manager.
Via SCP, maar dit vereist SSH access en dat heb je niet altijd. SCP ondersteunt ook geen dingen als directory listing, dus je hebt altijd een aparte session ergens nodig om de remote mappenstructuur te zien (SSH, of je doet het gewoon via de file manager in het control panel).
Via FTP(S). Ondanks dat mensen vinden dat het verouderd is, is het wel het breedst ondersteund/meest bekend en vanaf elk OS kun je er wel vrij makkelijk iets mee. Als je FTPS gebruikt (en dat zou wel moeten) heb je gewoon encryption en is het niet per se onveiliger dan HTTPS.
Via SFTP, wat een combinatie is van FTP en SSH, bijna letterlijk FTP over SSH. Die laatste regelt de authentication en encryption, het FTP-deel is dan voor het daadwerkelijke gebruik. Vanwege de vereiste voor SSH kun je het misschien ook niet altijd gebruiken.

Er zijn nog genoeg anders manieren als je een beetje moeite wilt doen.

Je kunt iets hosten als Nextcloud, dit ondersteunt WebDAV en hier zijn ook desktop clients voor beschikbaar. Er is ook nog zoiets als rsync maar dat synchroniseert een hele mappenstructuur en is niet echt bedoeld om losse files te uploaden.

Ulas @McBacon • 22 april 2021 05:35

Heel duidelijk, thanks! Blijkbaar gebruik ik FTPS, heb nog eens gecheckt! Zonder dat ik het wist!

84hannes @WoutervOorschot • 17 april 2021 22:32

Ik snap de reden ook niet echt, ftp is een uitontwikkeld protocol en er zit genoeg onzin in firefox

Alles dat je in je software laat zitten vereist onderhoud, testen en is een potentieel veiligheidsrisico. Ik denk dat we blij moeten zijn dat Firefox daarom features heroverweeg zodat niet je hele pc overgenomen kan worden door een lek in de implementatie van het gopher-protocool dat al dertig jaar door niemand is gebruikt.

System @WoutervOorschot • 17 april 2021 19:18

Omdat de meeste mensen ftp nodig zouden hebben voor een downloadje? Waarom een volledig file-managementprogramma installeren als je gewoon iets wilt downloaden.

Met een direct link zal dit ook blijven werken hoor.

comecme @System • 17 april 2021 22:34

Hoe dan?

supersnathan94

@System • 17 april 2021 22:41

Hoe dan? Die link is namelijk een FTP link dus als dat niet meer werkt houd het op.

Wat wel kan is een webserver die “toevallig” zijn storage deelt met de ftp server waardoor je wel een HTTP(S) link kunt construeren voor een gegeven bestand.

Direct FTP link gaat iig niet meer.

MaestroMaus

@supersnathan94 • 17 april 2021 23:28

Probeer dit eens (je moet wel handmatig refreshen met de refreshknop in de adresbalk).
https://it.nmu.edu/docs/adding-network-location-windows

supersnathan94

@MaestroMaus • 18 april 2021 01:07

Ik heb geen windows dus kan het niet proberen

, maar geloof wel dat dat werkt hoor

Het punt was juist dat het in Chrome niet meer werkt. Of het nou een direct link is of niet.

Volgens mij kun je FTP namelijk gewoon via verkenner als linkje openen en instellen (ipv de bestandslocatie bovenin, voer je dan gewoon de ftp locatie in). Maar dat was dus niet het punt. Statement van @System was dat het met een direct link wel werkt, maar zover ik weet is dat nog steeds FTP protocol en dat werkt dus niet meer.

henk717 @Skalders • 17 april 2021 18:16

Ik gebruik dit ook niet als FTP client naar mijn ftp servers, het gaat om sites die dan dat ene linkje als FTP aanbieden dat ik nodig heb. Dan is het toch een stuk sneller dat even snel in internet explorer te plakken dan om het via filezilla op te zoeken.

LNDN @henk717 • 17 april 2021 17:31

Er is genoeg open source spul beschikbaar om dit te doen. EN je kan letterlijk naar FTP sites browsen in
Windows explorer.

dutchnltweaker @bartje • 17 april 2021 17:16

Een beetje vreemd besluit.
Ik kan dan ftp openen met edge of chrome. Maar dan verlaat ik ff en kan ik toch door gaan met browsen. Ik denk dat zoiets marktaandeel gaat kosten.

Vreemd, volgens het artikel niet:

Het verwijderen van ftp uit Firefox komt niet als een verrassing. Mozilla meldde vorig jaar al dat de functie in 2021 uit de webbrowser gehaald zou worden. De functie zou standaard worden uitgeschakeld in Firefox 77, maar Mozilla stelde dit later uit. Ftp is sinds versie 82 al uit de Chrome-browser van Google gehaald.

Ook nog een bron van 2019: nieuws: Ondersteuning voor ftp verdwijnt uit Chromium
Grappige is wel dat er nooit een 82 versie is geweest: nieuws: Google slaat Chrome-versie 82 over
Dus waarschijnlijk wordt er 83 bedoeld, maar dat is dus al een jaar geleden. Dus je kan op chrome al een jaar geen gebruik maken van ftp.

[Reactie gewijzigd door dutchnltweaker op 23 juli 2024 09:36]

Auteur

AverageNL Nieuwsredacteur @dutchnltweaker • 17 april 2021 17:30

Grappige is wel dat er nooit een 82 versie is geweest: nieuws: Google slaat Chrome-versie 82 over
Dus waarschijnlijk wordt er 83 bedoeld, maar dat is dus al een jaar geleden. Dus je kan op chrome al een jaar geen gebruik maken van ftp.

Foutje van mijn kant. Het was aanvankelijk de bedoeling om FTP uit Chrome/Chromium 82 te halen, maar volgens de Google-site is dit uiteindelijk pas bij versie 88 gebeurd. Ik heb het inmiddels aangepast

Kees BOFH @AverageNL • 17 april 2021 17:38

In 88 is het uitgezet, net als in firefox in 77. In 91 word het uit chrome gegooit, net als firefox dat doet in versie 90 en kun je het dus ook niet meer via de config aanzetten.

Auteur

AverageNL Nieuwsredacteur @Kees • 17 april 2021 18:12

Ik zie het staan inderdaad, ik voeg het toe. Thanks!

dutchnltweaker @AverageNL • 17 april 2021 17:45

[...]

Foutje van mijn kant. Het was aanvankelijk de bedoeling om FTP uit Chrome/Chromium 82 te halen, maar volgens de Google-site is dit uiteindelijk pas bij versie 88 gebeurd. Ik heb het inmiddels aangepast

Ah zelfs pas in 88, ik zie het. Tnx voor de informatie!

Rudie_V @bartje • 17 april 2021 17:17

Ik denk dat het aandeel gebruikers dat ftp via de browser gebruikt zeer klein is en iedereen die nog ftp gebruikt hier gewoon een ander programma voor gebruikt dan een browser.

Ik kan dan ftp openen met edge of chrome. Maar dan verlaat ik ff en kan ik toch door gaan met browsen. Ik denk dat zoiets marktaandeel gaat kosten.

Nogmaals uit artikel:

Ftp is sinds versie 82 al uit de Chrome-browser van Google gehaald.

Ftp openen met chrome gaat dus al niet.

beantherio @Rudie_V • 17 april 2021 17:33

Ik denk dat het aandeel gebruikers dat ftp via de browser gebruikt zeer klein is en iedereen die nog ftp gebruikt hier gewoon een ander programma voor gebruikt dan een browser.

Dat lijkt me nog geen reden om de functionaliteit te verwijderen. Als je als gebruiker eens geen FTP-client voor handen hebt (bijv. omdat je vanuit een omgeving werkt waar e.a. is dichtgezet door beheer) maar wel een browser dan had je altijd nog een alternatief om van FTP gebruik te kunnen maken. Nu niet meer dus.

SirBlade @beantherio • 17 april 2021 18:11

Voor die gevallen is ftp.exe beschikbaar.

Azbest @beantherio • 18 april 2021 00:57

Firefox gebruikt voornamelijk telemetry om te bepalen wat gebruikt wordt en wat niet.
Ik vermoedt dat mensen die telemetry blokkeren ook voornamelijk diegenen zijn die dit soort features nog gebruiken. Firefox toont toch al niet veel interesse meer in hun oude gebruikers, dus dat zal vast invloed hebben gehad op het besluit.

Aan de andere kant denk ik ook dat ze steeds minder programmeurs in dienst hebben die nog voldoende kennis hebben van die legacy code.

De switch naar rust zal ongetwijfeld ook invloed hebben. Mozilla wil bugs en memory management problemen sneller kunnen verhelpen. Waarom nog moeite voor al die legacy onderdelen die nog amper gebruikt worden?
De forks zullen dat gat moeten gaan vullen.

FreshMaker @Rudie_V • 17 april 2021 23:21

Ik denk dat in de 'moderne' groep van gebruikers, men het verschil niet eens kent.
Die klikken op de link, en er opent een pagina met allemaal downloadlinks, waar ze de 'nieuwste' uitkiezen.

Die mensen krijgen straks een pop-up, en waarschijnlijk een initiele link naar filezill.

Kees BOFH @bartje • 17 april 2021 17:39

Edge en chrome hebben ftp support ook al disabled, en staan ook op het punt om het weg te gooien. Dus wat dat betreft zal het weinig marktaandeel kosten.

supersnathan94

@Kees • 17 april 2021 22:48

Nou dan toch maar weer safari downloaden.... oh wacht.

Safari on Windows is no longer supported by Apple.

Safari 5 (from 2010) is available via Apple's KB. The original page no longer exists, but the EXE is still hosted.

https://apple.stackexchan...wnload-safari-for-windows

RIP.

Safari heeft overigens altijd netjes FTP urls doorgezet naar finder. Zodat je daadwerkelijk een file browser kon gebruiken en geen veredelde directory listing.

Mocht iemand het nog willen proberen: http://appldnld.apple.com...509.INU8B/SafariSetup.exe

Cheetah_777 @bartje • 17 april 2021 17:40

Een beetje vreemd besluit.
Ik kan dan ftp openen met edge of chrome. Maar dan verlaat ik ff en kan ik toch door gaan met browsen. Ik denk dat zoiets marktaandeel gaat kosten.

Dan heb je het over promillages qua marktaandeel.

SuperDre @bartje • 17 april 2021 19:10

Ik denk dat het allemaal wel meevalt, vraag me sowieso sterk af wie nog ftp via de browser gebruikt. Kon de browser bv sowieso wel secure ftp aan?

NielsFL @bartje • 17 april 2021 23:34

FTP in browsers is altijd een halfbakken verhaal geweest. Vooral gericht op het recht-toe-rechtaan downloaden en uploaden van bestanden. Dat kan ook prima via HTTP(S).

Een echte FTP cliënt kan ook bestanden tussen twee servers kopiëren zonder dat via de cliënt te laten lopen. (Om maar wat te noemen.) Maar dat soort moois hebben de browsers bij mijn weten nooit ondersteund.

TheVivaldi @bartje • 18 april 2021 16:54

Knap dat jij ftp kan openen met Edge of Chrome. Dan gebruik je een oude versie, want het is al een tijd verwijderd…

beerse

Mozilla

@bartje • 18 april 2021 13:09

Wat je nu met edge en chrome beschrijft is precies wat met mozilla ook gaat gebeuren: Met een ftp: uri zal ze dat niet meer zelf verwerken maar aan een andere tool over laten.

Een uri die met ftp begint zal dan door het externe programma worden verwerkt. Helaas zal dan ook de verdere verwerking door die externe tool worden verwerkt. Net zoals een mailto: url in mozilla nog steeds werkt maar al sinds de splitsing van netscape naar mozilla/thunderbird vanuit mozilla door een ander programma wordt verwerkt.

t4600c @bartje • 18 april 2021 22:06

Ik kom regelmatig op NASA en National Archive websites en als je daar iets opvraagt zetten ze het gewoon op een FTP server en krijg je een link.

Inlog gegevens waren vorig jaar volgens mij "User" en "Password"

friggler 17 april 2021 17:11

Ik ben er inmiddels al een hele tijd uit, maar wordt dit überhaupt nog gebruikt dan?

henk717 @friggler • 17 april 2021 17:18

Ik liep hier vorige week al een stuk of 5 keer tegen aan gezien ik bezig ben met een retro PC project, de drivers worden soms nog op FTP servers gehost en die staan dus niet in archive.org maar kan ik ook niet downloaden zonder terug te vallen op andere browsers of programma's.

i-chat @henk717 • 17 april 2021 17:21

dan wordt het denk ik hoog tijd om een firefox/chrome plugin te bouwen die bij het klikken op een ftp link het gelinkte bestand direct te downloaden, of anders een folderstructuur te tonen gebruikmakend van de native windows tool voor FTP bijvoorbeeld.

Het is immers ook niet wenselijk om maar bezig te blijven met het onderhouden van legacy-code onder het mom van: een retropc of een print/scandriver uit het xp-tijdperk.
Wel vraag ik me soms af: als geen FTP, wat dan wel, want HTTP is ook lang niet altijd even practisch, vooral omdat het geen sessie-beheer kent en ook geen resume-functionaliteit.
Dan zou je weliswaar kunnen kijken naar mogelijke download-managers maar het had goed geweest wanneer die functionaliteit al was opgenomen in moderdere standaarden zoals spdy

of gaan we dan eindelijk een apache_mod_torrent krijgen? vooral omdat je in modernere torrent-implementaties al http bronnen kunt toevoegen als alternatief voor superseeding het is gewoon een handige tool om downloads ter beschikking te stellen. Voor game updates, maar ook voor downloadsites (trialware sites) en natuurlijk voor de downloads van bijvoorbeeld drivers.
In veel opzichten zo torrent wel eens een nuttige opvolger van FTP kunnen zijn.

[Reactie gewijzigd door i-chat op 23 juli 2024 09:36]

aikebah @i-chat • 17 april 2021 18:12

Wel vraag ik me soms af: als geen FTP, wat dan wel, want HTTP is ook lang niet altijd even practisch, vooral omdat het geen sessie-beheer kent en ook geen resume-functionaliteit.

HTTP kent wel een fenomeen waar je de resume mee kunt implementeren hoor.
https://developer.mozilla...s/Web/HTTP/Range_requests

En sessie-beheer is overbodig voor de hoofdreden waarvoor de browser FTP-capaciteit had ingebouwd: downloaden van public anonymous FTP-sites.

LNDN @i-chat • 17 april 2021 17:35

Of je linkt de URI die ze inbouwen naar explorer..

mae-t.net @i-chat • 17 april 2021 22:36

legacy code die al dusdanig uitontwikkeld is, zal niet schrikbarend veel onderhoud behoeven. Ik zie soort van een patroon dat browsers (en andere apps!) allerhande ondersteuning voor wat oudere protocollen of apparaten bewust vernielen. Ook de push naar versleuteling van alles wat los en vast zit, is niet per definitie gunstig. Het internet als geheel wordt steeds onsamenhangender en kwetsbaarder en veel kennis gaat verloren door ontoeganelijkheid.

Samueldw @friggler • 17 april 2021 17:22

Zeker, o.a. voor drivers en dergelijke. Zomaar een voorbeeld:
ftp://ftp.draytek.com.tw/Vigor2860/Firmware

Best onhandig dat ze het eruit halen.

E - man @Samueldw • 17 april 2021 17:30

Precies dit dus. Dat Gopher niet meer ondersteund wordt is nog tot daar aan toe, maar FTP wordt nog wel gebruikt.

Ze doen wel meer vreemde dingen zoals uitschakelen van backspace om een pagina terug te gaan (is wel weer te activeren) of niet meer tonen van EV certificaten in de adresbalk (niet meer in te schakelen).

snoopdoge90 @E - man • 17 april 2021 17:50

Dit is verre van vreemd, hier is natuurlijk al gedegen onderzoek naar gedaan.

Voor de meeste gebruikers is de backspace geen sneltoets. Deze sneltoets wordt wel vaak onbedoeld getriggered als ze tekst willen verwijderen, met als resultaat dat de pagina terug gaat en ingevulde formulieren verloren gaan.

Als backspace gebruiker herken ik me hier ook in. De backspace is gewoon ambigu en gebruik voortaan wel ALT Pijltjestoetsen.

EV certificaten zijn sowieso vrij nutteloos voor de eindgebruiker dus ze kosten een hoop geld waar je eigenlijk niks voor terug krijgt, omdat ze geen sterkere vertrouwensgevoel oproepen bij een eindgebruiker. Hier is ook al veel onderzoek na gedaan en de dood van EV certification was door vele security specialisten al voorspeld.

HakanX @snoopdoge90 • 17 april 2021 20:59

Dit is verre van vreemd, hier is natuurlijk al gedegen onderzoek naar gedaan.

Die "onderzoek" wordt vooral gedaan door de privacyschendende opties als dataverzameling in de browser in dit geval. Laat het nou net zo zijn dat de meeste geavanceerde gebruikers die ook gebruik maken van ftp al die opties als eerste na een installatie uitschakelen.

Dus als Mozilla zegt dat bijna niemand de optie nog gebruikt, bedoelen ze eigenlijk bijna niemand uit de base die dataverzameling aan heeft staan gebruikt het niet.

Daarom zie je steeds meer geavanceerde functies één voor één verdwijnen. (Ik baal van hoe simpel de mobiele browser is geworden).

Soldaatje @HakanX • 18 april 2021 00:10

Interessant punt. Aan de andere kant kan je ook zeggen: 'wie niet stemt, heeft ook niks te zeggen'. Dan nog, waarom een onveilige implementatie onderhouden terwijl andere programma's dit beter kunnen.

blinchik @snoopdoge90 • 17 april 2021 18:06

EV-certificaten zijn dan wel vermoord, maar hadden wel degelijk een gigantische meerwaarde. Ten eerste kon ik aan oudere mensen heel duidelijk maken, let op de groene balk. Zeker met Letsencrypt kan je heel makkelijk een certificaat aanmaken voor eender welke site (wat goed is uiteraard), maar zo kan je ook voor mijnbank.jfwiejrjwerjweiorjweirjweirwe.com een certificaat aanmaken. Zo hebben mijn ouders eens gebeld toen ze op een fake site die wel met https beveiligd was uitkwamen, waar de 2fa van de bank volledig was nagebouwd. Er staat wel "mijn bank", maar geen groene balk!

Bovendien was het niet zo eenvoudig om zo'n certificaat te bekomen, kostte het geld en was er manuele controle. De groene balk nabouwen op een andere server ging dus niet zomaar.

Met CAA in de DNS kan je dan nog eens een domein specifiek toewijzen aan een certificaat instantie, zodat iemand voor je domein niet zomaar bv. onterecht Letsencrypt certificaten kan voor kan uitgeven.

Ik ben zeker 100% pro Letsencrypt en gratis certificaten, maar EV had volgens mij voor belangrijke instanties zoals een bank, wel een serieus voordeel - toch zeker voor dat Chrome en Safari dit actief zijn beginnen verbergen.

[Reactie gewijzigd door blinchik op 23 juli 2024 09:36]

GrooV @blinchik • 17 april 2021 18:48

Ze hadden absoluut geen meerwaarde en zorgden alleen voor schijnveiligheid. Het zegt namelijk helemaal niks, een beetje fraudeur werkt hier gewoon omheen.

Zo kan je bijvoorbeeld de bedrijfsnaam Stripe Inc in een andere Amerikaanse staat registreren en hier een EV voor krijgen, volledig legitieme en het certificaat is geldig. (Dit is ook gebeurd door beveiligingsonderzoekers). Zo doende ben je dus in het bezit van een geldig certificaat van een van de grootste payment processors

Het beste (en daar werken browsers naar toe) is niks tonen als alles secure is en meldingen tonen als er dingen niet in orde zijn

[Reactie gewijzigd door GrooV op 23 juli 2024 09:36]

Blokker_1999

Browsers

@GrooV • 17 april 2021 19:06

Euhm... ze zeggen net heel veel. Een DV certificaat zegt net niets. Met een certificaat kan je 2 dingen doen: de communicatie beveiligen of identiteit vaststellen.

Met een DV certificaat, zoals uitgegeven door Let's Encrypt, is je commuinicatie tussen je browser en de server wel beveiligd met encryptie, maar je weet niet wie die server beheerd. Als je naar https://mijndomein.tld gaat en dat heeft een LE certificaat dan weet je niet of je met mijndomein praat danwel met een systeem waar je via een aanval naartoe gestuurd wordt.

Met een EV certificaat krijg je wel een bevestiging van aan wie het certificaat is toegekend. En terwijl DV certificaten regelmatig foutief worden uitgegeven, is dat bij EV certificaten een heel stuk moeilijker. Ofwel meoten aanvallers dan al inbreken bij een certificaatautoriteit, of men moet er in slagen om een vertrouwd root certificaat op jouw PC te krijgen. Maar als ze daar in slagen heb je grotere problemen.

En nee, het is niet perfect, maar als er misbruik wordt gemaakt zoals jij het omschrijft, dan is er een hele papertrail van wie ervoor verantwoordelijk was. Een bedrijfje gewoon om een certificaat op naam te krijgen richt je niet op enkele uren op.

GrooV @Blokker_1999 • 17 april 2021 19:25

Dus als het maar wat moeilijker is dan is het wel veilig? Bedrijfjes heb je zo opgericht, laat een kwetsbaar/dakloos iemand wat papieren tekenen en je spoor loopt dood.

Enige die wat aan EV’s hebben zijn de besrijven die ze uitgeven voor duizenden dollars. En dan ook nog eens geen wildcards ondersteunen...

YoMarK @GrooV • 17 april 2021 20:08

Uiteraard geen wildcards.
Die extended validatie is precies wat het zegt: extended validatie. Waar goedkope en gratis certificaten nauwelijks validatie doen(dns record, http server, of emailadres admin@domain.com b.v) komen er bij EV's daarnaast brieven, handtekeningen, paspoorten en telefoontjes aan te pas. Stuk moeilijker om een dergelijk certificaat op een malafide manier te bemachtigen.
Een wildcard is bad practice. Als iemand de private key bemachtigd is je hele domain comprised.

[Reactie gewijzigd door YoMarK op 23 juli 2024 09:36]

deadinspace @Blokker_1999 • 17 april 2021 21:45

Euhm... ze zeggen net heel veel. Een DV certificaat zegt net niets.

Maar ze hielpen de gemiddelde gebruiker niet veiliger te zijn. Uit de statement van Chrome:

Through our own research as well as a survey of prior academic work, the Chrome Security UX team has determined that the EV UI does not protect users as intended (see Further Reading below). Users do not appear to make secure choices (such as not entering password or credit card information) when the UI is altered or removed, as would be necessary for EV UI to provide meaningful protection.

(zie het statement voor uitgebreidere bronnen)

Firefox gebruikt dezelfde basis voor hun beslissing.

En noem mij bevooroordeeld, maar ik vertrouw het oordeel van onderzoekers van de grootste browsermakers hierover meer dan een paar random tweakers met wat anekdotisch "bewijs".

Als je naar https://mijndomein.tld gaat en dat heeft een LE certificaat dan weet je niet of je met mijndomein praat danwel met een systeem waar je via een aanval naartoe gestuurd wordt.

Het idee van een DV certificaat is nou net dat je wel met hoge zekerheid weet dat je met mijndomein.tld praat.

En terwijl DV certificaten regelmatig foutief worden uitgegeven, is dat bij EV certificaten een heel stuk moeilijker. Ofwel meoten aanvallers dan al inbreken bij een certificaatautoriteit, of men moet er in slagen om een vertrouwd root certificaat op jouw PC te krijgen. Maar als ze daar in slagen heb je grotere problemen.

Je overschat hoe moeilijk het is een EV certificaat te bemachtigen. In 2017 liet een researcher zien hoe makkelijk het was een EV certificaat te krijgen (meer over hoe hij het aangepakt heeft op zijn blog).

Ook smakelijk is dit verhaal uit 2017, waar iemand een EV certificaat voor "Stripe, Inc." (een payment provider!) wist te bemachtigen, simpelweg door een bedrijf onder dezelfde naam te starten, maar in een andere Amerikaanse staat dan het origineel.

Dit onderzoek is ook interessant leesmateriaal. Van de phishing sites die ze onderzochten had 0.4% een geldig EV certificaat. Dat klinkt weinig, maar als EV zo goed was zou dat 0% moeten zijn. Ik vind het eigenlijk best schokkend dat er zoveel (39 sites in dat onderzoek) phishing sites een EV cert hebben! Zeker aangezien ik vermoed dat die vooral op de lucratievere targets gebruikt zullen worden.

En nee, het is niet perfect, maar als er misbruik wordt gemaakt zoals jij het omschrijft, dan is er een hele papertrail van wie ervoor verantwoordelijk was. Een bedrijfje gewoon om een certificaat op naam te krijgen richt je niet op enkele uren op.

Mijn bovenstaande bronnen suggereren dat ook dat toch echt een stuk makkelijker dan je denkt. Van de blog van het eerste verhaal:

... to incorporate a company in the UK, you need to have a verifiable address and valid ID. So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director's home. These service addresses can be bought online for next to nothing.

[...]

Now finally, I began searching for a company to incorporate this new company on my behalf and after a good hour of researching on Google, I found the right one. I won't say the company name here for legal purposes but I will say that the process was incredibly easy to do; no ID check to my knowledge and it costs less than £40. It took the next day for the company to be incorporated by Companies House.

EV certificaten zijn gewoon niet heilig, terwijl een hoop mensen geloven dat ze dat wel zijn. Gecombineerd met het feit dat mensen slecht op de groene URL balk (en belangrijker: diens afwezigheid) letten, en dat er vaak verwarrende bedrijfsnamen getoond worden, snap ik best dat de meerwaarde van de groene URL balk er eigenlijk gewoon niet (meer) is.

WernerL

@blinchik • 17 april 2021 18:15

Ben je niet toevallig in de war met OV certificaten? Veel organisaties zoals banken gebruiken een OV certificaat en die zorgt voor zover ik weet voor die groene balk in web browsers. En die verwijnen ook niet. Een EV zit tussen DV certificaat en OV certificaat in. Kost meer dan DV, maar niet de voordelen van OV.

onok

@WernerL • 17 april 2021 18:51

EV = extended validation. De duurste soort dus. En nee, dit triggered geen groene balk meer, ga maar eens naar de site van je bank.

WernerL

@onok • 17 april 2021 19:47

Je hebt gelijk. Ik dacht dat OV certificaten de duurste waren. Maar EV was dus het certificaat die voor de groene balk zorgde. In dat geval ben ik het er mee eens dat het suf is dat EV certificaten stoppen.

GekkePrutser @blinchik • 17 april 2021 19:20

EV-certificaten zijn dan wel vermoord, maar hadden wel degelijk een gigantische meerwaarde. Ten eerste kon ik aan oudere mensen heel duidelijk maken, let op de groene balk

Ja maar dat was juist het probleem. Die groene balk garandeerde helemaal geen veiligheid. Het was net zo goed te faken door een foute registrar (denk aan het hele diginotar debakel). Daarmee creeer je schijnveiligheid en krijg je dat mensen phishing negeren zelfs als er buiten de groene balk andere indicatoren zijn dat het om een valse site gaat.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 09:36]

Blokker_1999

Browsers

@snoopdoge90 • 17 april 2021 18:58

Dit is verre van vreemd, hier is natuurlijk al gedegen onderzoek naar gedaan.

Voor de meeste gebruikers is de backspace geen sneltoets. Deze sneltoets wordt wel vaak onbedoeld getriggered als ze tekst willen verwijderen, met als resultaat dat de pagina terug gaat en ingevulde formulieren verloren gaan.

Als backspace gebruiker herken ik me hier ook in. De backspace is gewoon ambigu en gebruik voortaan wel ALT Pijltjestoetsen.

Ik vond deze helemaal niet ambigu. Als iemand die al browsers gebruikt van in de jaren 90 is het mijn standaard "ga terug" manier. Dat deze is uitgeschakeld is voor mij niet prettig. Ik hoop dat ze het een optie laten om terug in te schakelen.

EV certificaten zijn sowieso vrij nutteloos voor de eindgebruiker dus ze kosten een hoop geld waar je eigenlijk niks voor terug krijgt, omdat ze geen sterkere vertrouwensgevoel oproepen bij een eindgebruiker. Hier is ook al veel onderzoek na gedaan en de dood van EV certification was door vele security specialisten al voorspeld.

Ook hier ga ik niet mee akkoord. Voor vele mensen (al is het een klein percentage) heeft het wel degelijk een meerwaarde. Op sommige sites wil ik niet alleen dat de verbinding beveiligd is, maar wil ik ook weten dat de andere partij diegene is die men beweerd te zijn. Als ik naar mijn bank surf om bankzaken te regelen dan kijk ik actief na of het certificaat aan mijn bank toebehoord. En dat kan enkel met een EV certificaat. Als ik op het werk zit en ik merk dat het EV certificaat er niet is, gaat er direct een mail naar de juiste verantwoordelijke met de vraag waarom zij een intercept doen op dat domein omdat deze bij 1 van de categorieën hoort die daarvan uitgezonderd is.

snoopdoge90 @Blokker_1999 • 17 april 2021 19:20

Ik geef je geen ongelijk hoor. Maar 'het is altijd zo geweest' is geen valide punt imho. Dat is een Ad antiquitatem. Ik weet 100% zeker dat jij ook wel is een keer een formulier per ongeluk weg hebt gedrukt met de terug backspace i.p.v. backspace om tekst te verwijderen. Vanuit UX is hier dus zeker nog het e.e.a. te verbeteren. Wat ik wil zeggen is dat de backspace mij ook heilig is, maar dat ik ermee heb leren leven dat ik goed op formulieren moet letten betekend niet dat het niet verbeterd mag worden.

Wat betreft EV, een EV certificaat is makkelijk te verkijgen / misleiden door hoe het systeem is opgezet met oog op verschillende jurisdicten. Hierdoor valt het hele EV systeem eigenlijk al om en heeft al geen meerwaarde. Is geen in depth artikel maar een mooie opsomming van hoe en waarom is hier te vinden (van Troy Hunt).

[Reactie gewijzigd door snoopdoge90 op 23 juli 2024 09:36]

GekkePrutser @snoopdoge90 • 17 april 2021 19:19

Nou inderdaad, die backspace heeft me ook veel vloekmomenten opgegeven omdat ik per ongeluk de focus buiten een tekstscherm had gezet.

mae-t.net @snoopdoge90 • 17 april 2021 22:38

Dus de backspace als sneltoets is weggehaald omdat de softwaremakers te beroerd zijn om ingevulde formulieren te preserveren?

Ik vraag me af of het wel klopt dat veel mensen de backspace niet als sneltoets gebruiken. Ik denk dat de meeste mensen die ueberhaupt sneltoetsen gebruiken, die namelijk wel gebruiken.

buckly @mae-t.net • 18 april 2021 11:06

Ik gebruik sneltoetsen maar ik heb altijd de backspace sneltoets uitgeschakeld

DaRk PoIsOn @E - man • 17 april 2021 18:00

Pagina terug doe je toch gewoon met alt+pijltje terug.

@Qlusivenl @Sissors

Ik ben blijkbaar nog oldskool, ik ben vooral gewend om met tobo combi's te werken.
Dagelijks gebruik van Total Commander en Midnight Commander doet dat denk ik

[Reactie gewijzigd door DaRk PoIsOn op 23 juli 2024 09:36]

Qlusivenl

@DaRk PoIsOn • 17 april 2021 18:08

Ik doe het altijd met mn muis. Scrollwieltje naar links of de duimknoppen. In een browser navigeer je toch voorn met je muis.

Sissors @Qlusivenl • 17 april 2021 18:22

Precies, en op de laptop heb je gestures om het te doen. Backspace terug heeft me alleen een hoop verloren velden gekost bij perongeluk gebruik, het is gewoon een enorm onhandige sneltoets.

mae-t.net @Qlusivenl • 17 april 2021 22:40

En hoe zit dat met toegankelijkheid? Of simpelweg als je je muispijltje even niet kan vinden? Het is niet voor niets dat er voor vrijwel elke handeling nog wel sneltoetsen bestaan. Als niemand ze gebruikte, waren ze al lang weggehaald.

buckly @mae-t.net • 18 april 2021 11:07

Als niemand ze gebruikte, waren ze al lang weggehaald.

Is dat niet wat er nu aan het gebeuren is?

elmuerte @DaRk PoIsOn • 17 april 2021 18:09

Muscle memory is heel lastig af te leren.

ymmv @DaRk PoIsOn • 17 april 2021 21:07

Op Backspace drukken kost minder moeite. Dat kun je met een hand doen, normaliter de rechterhand waarmee je je muis bedient. Da's een kleine beweging. Voor ALT-pijltje terug heb je twee handen nodig. Ik vond de wijziging verdomd irritant, de backspace toets gebruik ik al 20 jaar zo. Ik heb dit via about:config recht gezet. Mozilla kennende zullen ze wel arrogant genoeg om dit tzt onmogelijk te maken. Ze haten hun trouwe Firefox-gebruikers.

DaRk PoIsOn @ymmv • 17 april 2021 21:22

Ik snap je heel goed hoor. Maar ik heb die linkerhand toch al aan het toetsenbord. Is een kleine beweging met je rechter naar de pijltjestoets.

En vooral op laptops vanaf touchpad ben ik daar sneller mee.

Ik denk dat het misschien mijn ding is

qlum

@E - man • 17 april 2021 23:18

Hoewel FTP helaas nog wordt gebruikt, is het niet per-se iets wat in de webbrowser hoeft.
Het ondersteunen van dit soort dingen gaat ook tijd in zitten en is weer een extra beveiligingsrisico.
Ik heb dan liever dat ik voor ftp gewoon naar mijn filemanager ga en dat Mozilla de tijd aan nuttigere dingen besteed.

ajhaverkamp @Samueldw • 17 april 2021 17:26

Je kunt de URL gewoon openen met File Explorer (Verkenner). Even kopieren en plakken. Elke (Windows) PC heeft dus nog steeds de mogelijkheid om dit soort sites te benaderen.

SuperDre @ajhaverkamp • 17 april 2021 19:12

Niet alleen dat, maar als je er op klikt zal dat in principe automatisch gebeuren omdat dus de uri doorgelinkt wordt naar je OS.

Zer0 @Samueldw • 17 april 2021 17:53

Ach, werkt gewoon nog in de commandline versie van FTP in Windows 10, dus voor die ene keer dat je een driver nodig hebt kun je daar mee verder

Keypunchie @Samueldw • 17 april 2021 18:39

Mwoah, alsof het zo lastig is om een ftp-programma te downloaden, net zoals er geen mailclient meer ingebouwd zit en je gewoon een third-party opent bij een mailto: link

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:36]

Cyb @Samueldw • 17 april 2021 19:18

Dat Draytek FTP gebruikt, betekent nog niet dat je dat zouden moeten gebruiken. FTP is een onveilig protocol, en daarom alleen al niet meer van deze tijd als het gaat om simpele downloads die gemakkelijk over HTTPS hadden gekund. (In tegenstelling tot veiligere combinaties/uitbreiding, zoals SFTP.) Je merkt het eigenlijk al als je alleen al naar de website van Draytek gaat: standaard HTTP i.p.v. een redirect naar HTTPS.

mae-t.net @Cyb • 17 april 2021 22:44

Wat is er precies onveilig aan FTP, en waarom zou HTTPS wel veilig zijn? Je kunt malware net zo goed over HTTPS verzenden.

Als je zou zeggen dat FTP "clunky" is en vervelend voor firewalls, zou je wat mij betreft een sterker argument hebben.

En ja, SCP en SFTP zijn wat mij betreft beter. Maar dat betekent niet dat je backwards compatibility maar altijd moet breken omdat de nieuwe manier beter zou zijn.

Cyb @mae-t.net • 17 april 2021 23:34

Zie ook mijn post hieronder in ditzelfde draadje: Cyb in 'nieuws: Mozilla verwijdert ftp-functie uit Firefox 90'

FTP is plaintext, dus dat zegt al genoeg over hoe onveilig het is. (FTP kan wel veiliger worden gemaakt met extensies of combinaties op het protocol, maar het gaat hier in het nieuwsbericht om standaard FTP.)
Het gaat dus niet om of de bron wel of geen malware kan bevatten, het gaat erom dat het plaintext wordt verstuurd, waardoor modificatie van pakketten mogelijk is. Als de bron dus geen malware bevat, kunnen derden in tussenliggende netwerken alsnog tijdens transmissie er malware in stoppen.

Dat FTP vervelend is voor firewall en/of router staat daar los van, maar ook daar zie je pakket interceptie terug: afhankelijk van de FTP mode voeren sommige NAT routers pakket mangling uit voor FTP compatibility.

mrdemc @Xantios • 17 april 2021 19:53

Juist bij een driver zou een beveiligde verbinding met de update server een must moeten zijn zodat je zeker weet dat je met de server van Draytek in dit geval communiceerd. Een HTTPS pagina kan prima een standaard Apache directory listing zijn waarbij je puur de bestanden ziet en Apache zelf een html opbouwt waar niemand ooit iets aan hoeft aan te passen. Dat is qua opbouw gelijkwaardig met hoe Firefox nu nog de ftp pagina weergeeft, en hoeft echt niet ingewikkeld te zijn. Naar mijn idee is dat zelfs beter. Maar op z’n minst zou het via ftps moeten gaan, juist bij firmware en drivers.

[Reactie gewijzigd door mrdemc op 23 juli 2024 09:36]

Cyb @Xantios • 17 april 2021 19:55

"FTP is een onveilig protocol" is allemaal leuk en aardig, maar ook een totaal irrelevant punt.

Kwa security is het wel degelijk relevant. Doordat het plain text is, is sniffing en modificatie aanvallen erg gemakkelijk. Derden in de tussenliggende netwerken kunnen je gemakkelijk drivers met exploits er in voorschotelen, terwijl de bron gewoon nog ongewijzigd is.

Als ik een driver download, heb ik liever een FTP verbinding die verder niks bijzonders doet dan een overmatig complexe HTTPS verbinding, een site die waarschijnlijk weer aan alle kanten tracking bevat en een hele SSL stack.

Trackers van derden blokkeer je met browser add blockers, al dan niet i.c.m. private browser mode. Dat is niet ingewikkeld, en bevat (als je het goed doet) minder tracking dan dat mogelijk is met FTP.

K-aroq @Xantios • 17 april 2021 20:37

En hoe weet jij dat je een veilige driver download van een veilige server als je een onveilige verbinding hebt?

GeroldM @Xantios • 18 april 2021 04:33

WebDAV is al sinds jaar en dag onderdeel van HTTP (en dus ook van HTTPS) en is zeer geschikt voor het versturen/ontvangen van bestanden. Kan je allemaal beveiligen via certificaten, extra inlogprocedures en is gemakkelijk te activeren in de Apache/NGinX webserver software, alsmede IIS.

FTP, SFTP, FTPS...allemaal niet nodig meer, waardoor er minder software op de server hoeft te worden geinstalleerd, meer poorten op je firewall dicht kunnen blijven. FTP is ouwe meuk en heeft een heleboel nadelen. Ja, grote(re) bestanden worden relatief snel getransporteerd via FTP, maar kleine bestanden? Daarvoor is FTP helemaal niet geschikt. Het is een echt ouderwets protocol, wat niet zo goed valt te optimaliseren.

Als je denkt dat FTP snel is, dan ligt dat meer aan de sterk verbeterde beschikbaarheid van bandbreedte tussen jezelf en de (S)FTP(S) server, niet het protocol zelf. Zo moet ik 7 of 8 keer per week bestanden vanuit Europa naar Zuid-Amerika binnenhengelen. Dat geet geheel automatisch via scripts, en het zijn archieven, elk zo'n 300 MByte groot.

Tijdens het maken van deze scripts veelvuldig getest via FTP, SCP en WebDAV. Tussen FTP en SCP zat weinig verschil qua transport-snelheden. Met beide duurde het ongeveer anderhalf uur tussen start van het script in Nederland en de uiteindelijke archieven op mijn server. Via WebDAV zo'n 20 minuten.

Zelfde verbinding, zelfde bestanden, nagenoeg zelfde tijdstippen. FTP? Nee, bedankt. Als protocol is het zo'n beetje net zo oud als email. En het basis-ontwerp van FTP is, net als email, veel te goed van vertrouwen. Dat FTP daardoor de naam heeft onveilig te zijn, dat klopt wel degelijk. Als je al ziet wat je allemaal moet doen om email veilig(er) te krijgen, dan kan ik me wel voorstellen dat men bij FTP denkt: "Nee he, niet weer!".

Wil je toch met FTP aan de slag, een specifiek ervoor geschreven client software lijkt me dan een veel betere optie. Maar of FTP nog steeds in een browser ondersteund moet worden? Nee, niet echt.

Patriot @Xantios • 18 april 2021 14:04

Als ik een driver download, heb ik liever een FTP verbinding die verder niks bijzonders doet dan een overmatig complexe HTTPS verbinding, een site die waarschijnlijk weer aan alle kanten tracking bevat en een hele SSL stack.

Ja hoor, want van een https-verbinding heb je zoveel last 🤣

Die website moet je toch wel bezoeken als je naar de driver wil navigeren. Als je de url weet dan kan dat ook bij https zonder websitebezoek.

memphis @Samueldw • 17 april 2021 19:41

Aan de andere kant mensen die handmatig drivers installeren zijn wel slim genoeg om een FTP client te installeren of hebben die mogelijk al staan. Heel eerlijk, voor de gemiddelde gebruiker vandaag de dag is FTP acacadabra. Hoewel een browser interface voor de meeste onder hen ideaal zou zijn om zo onopgemerkt op een FTP te komen zullen de meesten niet bij een FTP server terecht komen.

ZwarteIJsvogel @Samueldw • 18 april 2021 05:40

In veel gevallen zal dezelfde content ook via HTTPS te benaderen zijn, zo ook hier: https://fw.draytek.com.tw/Vigor2860/Firmware/.

FTP is op weg naar de uitgang, ook aan de serverkant. Het enige waar ik FTP nog echt handig voor vind, is de mogelijkheid om bv. met WinSCP een treewalk te doen. Maar noodzakelijk is dat niet.

divvid @friggler • 17 april 2021 18:09

Ik zal dit als eerste weer aanzetten. Onzinnig on dit er uit te halen. Heel De lifescience data infra hangt er mee aan elkaar

Keypunchie @divvid • 17 april 2021 18:41

Zegt meer iets over de lifescience data niche.

En als het zo belangrijk is, waarom geen dedicated client gebruiken?

Blokker_1999

Browsers

@divvid • 17 april 2021 19:12

Als het verwijderd wordt, kan je het niet meer aanzetten. Als je het heel veel gebruikt vraag ik me wel weer af waarom je geen goede client gebruikt zoals filezilla. Voor FTP sites is een specifieke ftp client handiger en als je iets in de browser beschikbaar wenst te maken kan het evengoed over http(s).

divvid @Blokker_1999 • 17 april 2021 22:43

Ik gebruik het meestal om even gauw het adres te checken. Vaak staat de link ergens op een site genoemd. Het is echt heel handig als je dan je browser kan gebruiken, zeker als er een ICT afdeling is die weigert een goede FTP client te installeren ‘omdat toch niemand dat gebruikt’. Voor het grote werk is het uiteindelijk wget of curl. Veel sites ondersteunen gelukkig ook gewoon rsync

[Reactie gewijzigd door divvid op 23 juli 2024 09:36]

Euronitwit

@friggler • 17 april 2021 18:55

CuteFTP download je vroeger van .... je raad het al...... ftp

SuperDre @Euronitwit • 17 april 2021 19:13

Tegenwoordig winscp

boulderdash1978 @friggler • 17 april 2021 19:04

Af en toe stuit ik nog op http://www.msxarchive.nl. Een handige verzameling MSX software.

IStealYourGun @friggler • 17 april 2021 20:43

Ik zie het nog heel vaak bij middleware toepassingen (zelfs moderne), maar dat zijn dan applicaties en daarvoor heb je geen browser nodig. Ik ga dat niet snel missen zolang je er een ftp-client aanwezig is op de PC.

FreshMaker @friggler • 17 april 2021 23:32

Ik ben er inmiddels al een hele tijd uit, maar wordt dit überhaupt nog gebruikt dan?

Dagelijks, om van en naa rmijn VPS te verbinden.
Al is dat op basis van FTPS, maar de techniek is hetzelfde verder

jmmk @friggler • 18 april 2021 00:15

Yup, bijvoorbeeld om snel even bestanden op m'n webserver te zetten.
Toegegeven; ik gebruik daar Notepad++ (met ftp-plugin) voor, maar wél ftp.
Als je een eerdere versie van de firmware van een Fritzbox wilt downloaden, kom je volgens mij ook nog in een ftp-server terecht.

juanita 18 april 2021 01:08

Wat ik altijd wel mooi vind is als je ftp kan openen in een file browser als macOS Finder of Windows Verkenner. Dat is ook eigenlijk de plek waar het thuis hoort.

Grimm @juanita • 18 april 2021 01:13

Je vergeet Dolphin (Linux).

TheVivaldi @Grimm • 18 april 2021 17:05

En tig andere bestandsbeheerders op alle OS'en.

CH4OS @juanita • 18 april 2021 03:13

Dat kan ook, in Windows kon het vroeger in elk geval wel. ftp://user:password@server typte je dan in de adresbalk. Om te zeggen dat het 'daar thuishoort' vind ik wat overdreven. Internet Explorer had/heeft ook gewoon een FTP-functionaliteit, echter de massa gebruikt allang en breed geen FTP meer om bestanden binnen te hengelen en het is bovendien nog onveilig ook.

Jemboy 17 april 2021 17:27

Om één of andere manier gebruik ik al jaren Total Commander voor FTP en je kan ook meteen de connectiegegevens opslaan.
Ik gebruik FTP voornamelijk om data van en op een website te zetten en sommige leveranciers waarmee ik werk zetten nog data plaatjes, prijzen en zelf pakbonnen en facturen op de FTP, zodat wij het in onze interne systemen kunnen verwerken.
Eerlijk gezegd heb ik al jaren geen ftp:// gebruikt in een browser, al was mijn gebruik veelal om snel te testen of een ftp-site online/offline was.

Stromboli @Jemboy • 17 april 2021 21:23

Ik gebruik FTP voornamelijk om data van en op een website te zetten en sommige leveranciers waarmee ik werk zetten nog data plaatjes, prijzen en zelf pakbonnen en facturen op de FTP, zodat wij het in onze interne systemen kunnen verwerken.

Realiseren jij en die leveranciers zich wel dat FTP volkomen onveilig is.

Ik snap echt niet waarom mensen anno 2021 in godsnaam nog steeds zulke dingen over FTP doen, in plaats van SFTP wat wel veilig is.

Niet aanvallend bedoeld overigens, maar na alle datalekken en nare hackverhalen mag onderhand toch een beetje bewustwording omtrent digitale veiligheid worden verwacht.

mae-t.net @Stromboli • 17 april 2021 22:47

Wat is er precies onveilig aan FTP? Je kunt malware ook prima over SFTP versturen toch?

Stromboli @mae-t.net • 17 april 2021 23:26

Bij FTP gaat alles gewoon plaintext over je draad. Dus iedereen op je netwerk, je provider, inlichtendiensten, enzovoort, kunnen allemaal al je traffic zien. Zowel de data als commando's als zelfs je login en password.

Jemboy @Stromboli • 19 april 2021 15:41

Je hebt gelijk. Mijn fout is dat ik de naam FTP ook slordig gebruikt voor SFTP

We gebruiken classic FTP alleen nog voor readonly sites (met bruto prijzen) waarbij de FTP eigenlijk openbaar is (zonder wachtwoord). Doordat wij intern de inkoopskorting weten kunnen wij dan de netto prijzen uitrekenen.

Voor R/W FTP bij onze leveranciers gebruiken we inderdaad SFTP en tegenwoordig steeds meer API's.

Dennisb1 17 april 2021 18:24

Waarom kiezen websites liever voor ftp ipv http(s) om hun downloads te verspreiden?
Ik heb dat nooit begrepen.

Edit: ik heb het over via een website, niet het middel om te uploaden maar gewoon een website zoals asus die zijn drivers aanbied via ftp

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 09:36]

K-aroq @Dennisb1 • 17 april 2021 20:42

Inderdaad onbegrijpelijk.

Bedrijven die in deze tijd nog steeds downloads durven aan te bieden via onbeveiligde ftp-sites zou je moeten mijden als een enge ziekte.

We lezen dag in dag uit hier problemen al gevolg van brakke security. En nu zie je hier opeens allemaal reacties die pleiten voor het gebruik van een totaal niet meer van deze tijd zijnde technologie.

IrBaboon79 @Dennisb1 • 17 april 2021 18:45

FTP (protocol) is vrij relevant in veel industrie en bedrijfstakken - de halve VOD/streaming wereld bijv. hangt nog aan elkaar van FTP, batch/script files, ‘tijdelijke oplossingen’ en andere meuk die al jaren werkt en nog jaren zal werken (ik heb er regelmatig iets tussen moeten knutselen om iets werkends op te leveren) Alleen gebruik je dan dedicated applicaties, tools, etc en geen browser-based ftp.

Dus uit de browser : prima, tools zat immers.
Het protocol zelf? Intern gebruiken, via internet? FTPS of SFTP (ja ja...I know, ander beestje...)

[Reactie gewijzigd door IrBaboon79 op 23 juli 2024 09:36]

Keypunchie @Dennisb1 • 17 april 2021 18:47

Makkelijker uploaden voor degenen die de bestanden aanlevert.

Je hoeft alleen maar een ftp-server te draaien en daar dingen neer te zetten.

En als je hem toch al gebruikt voor aanleveren, dan net zo makkelijk om de downloads er ook via te laten lopen, in plaats van iets ingewikkelds doen met http.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:36]

habbekrats @Dennisb1 • 17 april 2021 19:10

grote bestanden is FTP efficiënter en makkelijk om even user en passwoord aan te hangen zonder een hele http pagina hiervoor.

TheToolGuy @Dennisb1 • 17 april 2021 18:44

.... File Transfer Protocol .... What's in a name ...

mutley69 17 april 2021 21:08

En wat doen ze met ftps:// en sftp:// ???

De Nelis @mutley69 • 17 april 2021 21:41

Die blijven werken, het gaat om het ftp protocol.

WhatsappHack @De Nelis • 17 april 2021 22:49

Nee, Mozilla is niet van plan FTPS erin te houden. SFTP weet ik niet.

K0L3N 17 april 2021 18:01

Lijkt me logisch, het is een niche functie, en om daar resources aan te besteden is niet de moeite als er ook prima alternatieven als Filezilla beschikbaar zijn. Dus dan beter uitzetten dan risico's lopen.

SuperDre @K0L3N • 17 april 2021 19:16

Maarja, aan de andere kant, if it ain't broken.... Kan me niet voorstellen dat ze hier zoveel onderhoud aan hebben.

K0L3N @SuperDre • 17 april 2021 19:30

Klopt, maar tegenwoordig duiken er toch snel wat security bugs op, die dan zo snel mogelijk gefixt moeten worden. Dus het dan laten vallen en dat op laten lossen door externe programma's lijkt mij in ieder geval veel handiger.

TheVivaldi @SuperDre • 18 april 2021 16:58

Dat soort uitspraken doe ik ook wel eens, maar er duikt altijd wel weer minstens één mede-tweaker op die dan komt uitleggen waarom het meer onderhoud heeft dan je denkt

arnoudnederland 18 april 2021 00:10

liever een browser die alles ondersteund, http, ftp, sftp, mail, smb, zelfs news en gopher. Een applicatie om alles te browsen. Het maakt de browser niet onveiliger, de gebruiker moet zelf de verantwoording hebben voor welke toepassingen deze welk protocol gebruikt. En als je van een een of andere 20 jaar oude ftp server met nog niet die oude technische documentatie of installs iets van willen downloaden dan is dat prima.

bvdbos 18 april 2021 10:58

Ik kan me niet voorstellen dat het blijven ondersteunen van anonieme ftp downloads veel onderhoud zal vergen. Maar om dat te laten bestaan, de rest van de ftp-functies eruit te halen en daarbij het gebruiken van protocol_handlers wel te ondersteunen, zal denk ik lastiger zijn en zal leiden tot een slechtere User-Experience. Dus kan het me wel voorstellen dat ze deze stap nemen... En al die ftp-servers hebben toch ook een http-frontend tegenwoordig?

In de tijd dat ik nog zwart haar had was ftp een stuk sneller dan http door de lagere overhead. De bottle-neck was destijds de up-/download van de client. Tegenwoordig is dat verschil volgens mij compleet verdwenen doordat de snelheid gecapped wordt op de server?

[Reactie gewijzigd door bvdbos op 23 juli 2024 09:36]

Op dit item kan niet meer gereageerd worden.

Mozilla verwijdert ftp-functie uit Firefox 90

Lees meer

Reacties (183)

Sorteer op:

Weergave: