使用普通 FTP，凭据以普通方式传递，因此很容易被嗅探。此外，这些文件不仅以明文形式发送，而且它们也不受修改保护，即中间的活跃人员可能会即时更改文件。就风险而言，它与普通 HTTP 类似，即它在受信任的网络中可能很好，但如果您不能完全信任该网络，则不是一个好主意。

凭证以明文形式传输，但您从其他帖子中知道这一点。但是获得这些细节有多容易？

例如，我运行 tcpdump 并连接到 FTP 服务器。让我们看一下带字符串的 pcap：

220 (vsFTPd 3.0.2)
6USER joe
CT'X
331 Please specify the password.
CTXY
PASS superSecretPassword
230 Login successful.

命令的内容呢？这是 pcap 的输出：

PASV
227 Entering Passive Mode (192,168,1,2,238,178).
LIST
150 Here comes the directory listing.
MNt@
drwxr-xr-x    2 1000     1000         4096 Aug 28 20:27 Desktop
drwxr-xr-x    2 1000     1000         4096 Aug 28 20:27 Documents
drwxr-xr-x    2 1000     1000         4096 Aug 28 20:27 Downloads
drwxr-xr-x    2 1000     1000         4096 Aug 28 20:27 Music
-rw-rw-r--    1 1000     1000        58677 Jun 12  2010 pic1.jpg

如果你想要文件内容，这里是 jpg 的获取。

200 Switching to Binary mode.
PASV
227 Entering Passive Mode (192,168,1,2,64,224).
RETR pic1.jpg
150 Opening BINARY mode data connection for pic1.jpg (58677 bytes).
JFIF
http://ns.adobe.com/xap/1.0/
<?xpacket begin="
" id="W5M0MpCehiHzreSzNTczkc9d"?> <x:xmpmeta xmlns:x="adobe:ns:meta/"    
 x:xmptk="XMP Core 4.1.1"> <rdf:RDF 
xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> 
<rdf:Description rdf:about="" 

因此，如果有人可以在客户端、服务器或网络上嗅探数据包，那么您就有了安全问题。通过移动 SFTP 或类似方式来缓解问题是一个简单而好主意。

FTP 有多不安全……真的……是吗？

与任何其他未加密的应用层协议（例如 HTTP）一样不安全。

但究竟构成的风险是什么？

主要风险是通过 FTP 发送的所有数据暴露（网络上的窃听者）。

用户的凭据、密码等呢？

是的，这些也暴露了。它们是使用应用层命令 USER 和 PASS 发送的。

多么不安全……真的……是 FTP

它和您的网络一样不安全。如果网络可以被嗅探（WiFi、流氓 ISP 等），找到密码和数据就像运行 wireshark 一样简单。给定一个听点，你可以训练一个聪明的 10 岁孩子在一小时内获取密码和数据。

用户的凭据、密码等呢？

一切都很清楚，可以使用非常简单的工具来捕获它们。

当然，一个人所在的特定网络也很重要。安全的办公网络与机场休息室略有不同。

真的。正如我所说，FTP 和网络一样安全，仅此而已。这也是威胁模型的问题。谁会尝试获取您的 FTP 数据，为什么？

如今，使用 sftp 和其他安全传输数据的方式，问题更多的是为什么要使用 ftp，而不是为什么要使用安全的替代方案。

我认为你应该记住的是，这些类型的场景只会随着时间的推移而膨胀。您一开始并不特别关心数据并且您的凭据被盗用，但是随着时间的推移，您正在做的事情可能会演变成您真正希望您一开始就花时间做正确的事情。许多 IT 专业人士被告知“它只会做 X，它永远不会用于 Y”，只是让同一个人在 18 个月后回来并说“我知道我说过它永远不会做 Y ……买我们现在真的需要它。你能修好它吗？

如果您在这件事上有任何选择，从不安全开始几乎不是一个好主意，只是假设“我们稍后会在需要时添加安全性。”。安全的替代品实际上并不难使用和维护，那么您为什么不使用它们呢？