FTP-Unterstützung wird in Firefox Nightly deaktiviert
Die Verschlüsselung von Daten spielt eine wichtige Rolle für die Sicherheit. Dies betrifft nicht nur die Verwendung von HTTPS anstelle von HTTP. Auch über das FTP-Protokoll können Daten unverschlüsselt übertragen werden. In Kürze wird die FTP-Unterstützung in Firefox Nightly deaktiviert werden. Entgegen der Berichterstattung auf diversen anderen Seiten jedoch nicht in der finalen Version von Firefox 77.
Während weltweit bereits mehr als 82 Prozent aller HTTP-Verbindungen von Firefox-Nutzern verschlüsselt über HTTPS abgewickelt werden und in den USA sogar über 91 Prozent, kann die Unterstützung von unverschlüsseltem HTTP vermutlich noch lange Zeit nicht aus Firefox entfernt werden. Daran ändert auch der neue HTTPS-only-Modus von Firefox 76 nichts.
Firefox unterstützt aber auch noch das unverschlüsselte FTP-Protokoll. Dessen verschlüsselte Varianten FTPS und SFTP wurden von Firefox noch nie unterstützt. Und die Verwendung von FTP in Firefox liegt bei mageren 0,05 Prozent.
Aus Sicht von Mozilla gibt es für Websites keinen Grund, das unsichere Protokoll FTP gegenüber HTTPS für den Download von Dateien vorzuziehen. Dazu kommt, dass die Implementierung der FTP-Unterstützung in Firefox schon sehr alt und schwer zu warten sei. Auch hätte Mozilla in der Vergangenheit schon einige Sicherheitsprobleme in der FTP-Implementierung gefunden, die zu beheben waren, womit die FTP-Unterstützung für die Entwickler auch immer als potentieller Angriffsvektor betrachtet werden muss.
Bereits seit Firefox 60 besitzt Mozillas Browser eine Option, um die FTP-Unterstützung in Firefox abzuschalten. Mozilla wird die FTP-Unterstützung in der Nightly-Version von Firefox in Kürze standardmäßig abschalten.
Entgegen der Berichterstattung auf diversen anderen IT-Websites betrifft dies nicht die finale Version von Firefox 77. Die standardmäßige Deaktivierung der FTP-Unterstützung bleibt vorerst auf Nightly-Versionen limitiert – und kann auch seitens Nutzer wieder eingeschaltet werden. Ein Termin für die vollständige Entfernung der FTP-Unterstützung aus Firefox steht zu diesem Zeitpunkt noch nicht fest. Dies wird aber frühestens im Jahr 2021 passieren.
Für die Nutzung von FTP, einschließlich dessen sicherer Varianten, gibt es weit bessere Alternativen, zum Beispiel das kostenlose Programm FileZilla, welches für alle relevanten Desktop-Plattformen (Windows, macOS, Linux) verfügbar ist. Für die allermeisten Websites ist das FTP-Protokoll aber sowieso völlig irrelevant.
Ehrlich gesagt würde ich die Entfernung von http als äußerst lästig empfinden. Wenn man entwickelt, laufen die Dev Server oft genug mit http. Jedem Entwicklungs-Tomcat https zu verpassen, zumeist mit selbssignierten Zertifikaten, ist irgendwie nicht prickelnd.
Außerdem ist es sinnlos. HTTP (1.0, 1.1) wird sowieso unterstützt bleiben müssen, da ja auch https meist nur http verschlüsselt ist (zugegeben, http2 frisst sich langsam aber doch auf die 50% zu, aber das wird noch dauern …).
Du wirfst hier doch einige Dinge durcheinander.
Erstens geht es hier um unverschlüsseltes FTP, nicht unverschlüsseltes HTTP. Der ganze Kommentar ist also komplett am Thema des Artikels vorbei. Zweitens hat auch die Unterstützung von unverschlüsseltem HTTP mit der HTTP-Version nicht das Geringste zu tun. Es braucht HTTPS für HTTP 2, aber nicht umgekehrt. HTTP 1.0 oder 1.1 mit HTTPS ist überhaupt kein Problem. Drittens kann auch ein lokaler Server mit HTTPS betrieben werden. Ich brauch dafür keine fünf Sekunden, um HTTPS auf meinem lokalen Entwicklungsserver zu aktivieren. Ist kein Tomcat und ich kann dir nicht sagen, wie lange ich für einen Tomcat-Server bräuchte, aber unmöglich ist das nicht. Viertens haben lokale Server sowieso eine Sonderstellung. Das ist bereits jetzt der Fall, dass lokale Server von Firefox nicht vollkommen identisch zu echten Servern behandelt werden. Würde man also irgendwann HTTPS zwingend erfordern, wäre überhaupt nicht gesagt, dass das lokale Server auch betrifft. Aber dieser Zeitpunkt, sofern er denn überhaupt jemals kommen wird, was so auch gar nicht sicher ist, liegt sicher noch einige Jahre in der Zukunft entfernt. Und bis dahin ist man, sollte die Konfiguration von Tomcat so kompliziert sein, dort ja vielleicht auch schon ein bisschen weiter.
Nein. Ich werfe nichts durcheinander.
Im Artikel steht:
Das impliziert, wohl dass du eine Entfernung für wünschenswert hältst. Btw. Für dich mag "Entfernung der Unterstützung" vielleicht die Bedeutung von "per Default-Deaktivierung des Features" haben. Für mich heißt es: Man entfernt den Code dafür.
Desweiteren: Ich habe nie gesagt, dass es am Tomcat unmöglich ist. Ich sagte: Lästig. Zertifikatsmanagement ist unter Java leider nicht so lustig wie im Apache oder Nginx.
Es ist übrigens völlig bedeutungslos ob lokale Server eine Sonderstellung einnehmen oder nicht. Wenn man "die Unterstützung von unverschlüsseltem HTTP … entfernt" und den Code für http1/1.1 rauslöscht, hat man lokal wie remote Pech gehabt.
P.S.: Nur zur Info, es braucht für http2 kein https. Die meisten Implementierungen verlangen es zwar, aber es ist weder gefordert noch nötig.
Ist der richtige Schritt, unverschlüsselter Datenverkehr sollte 2020 nicht mehr geben.
Sicher hast du das. Zum einen damit, dass es in deinem Kommentar nicht um das Thema ging, oder auch mit dem kompletten zweiten Absatz. Es stimmt nun einmal einfach nicht, dass unverschlüsseltes HTTP wegen HTTP 1.0 und 1.1 unterstützt werden müsste. Auch in diesem Kommentar wirfst du Dinge durcheinander. Du musst einfach gründlicher lesen, was ich schreibe. Denn ich glaube, dass sich die meisten Missverständnisse auf zu ungründliches Lesen und/oder das Hineininterpretieren von Dingen zurückführen lassen, die nicht im Artikel stehen. 😉
Nein, das impliziert es nicht. Es ist eine Tatsachenbeschreibung. Es ist nun einmal erstrebenswert, nur noch verschlüsselten Datenverkehr zu haben. Das hat aber nichts mit meiner Meinung zu tun, sondern ist der Idealzustand, der von allen relevanten Browserherstellern angestrebt wird. Das ist ein Fakt. Und ich habe mit diesem Satz beschrieben, dass dieser Idealzustand noch ein weites Stück entfernt entfernt ist. Das habe ich geschrieben, um all die Leser zu beruhigen, die in Panik verfallen könnten, dass hier irgendetwas in diese Richtung auf absehbare Zeit passieren könnte. Das Ganze war aber nur eine Einleitung in das Thema der verschlüsselten Übertragung, weil HTTP/HTTPS für viele bekannter ist als FTP. Das eigentliche Thema des Artikels bleibt FTP.
Das ist völlig egal, denn meine Aussage war, dass das noch lange Zeit nicht passieren wird. Und der Kontext dieser Aussage ist immer noch die Entfernung der FTP-Unterstützung, welche in Kürze in Nightly-Versionen deaktiviert und 2021 vollständig entfernt wird, wie auch im Artikel steht. Mein Artikel sagt also: Die FTP-Unterstützung wird aus Firefox vollständig entfernt werden, für unverschlüsseltes HTTP wird das auf absehbare Zeit nicht passieren. Nichts anderes habe ich geschrieben.
Und ich habe nicht geschrieben, dass du es unmöglich genannt hättest. Im Gegenteil bin ich auf genau das eingegangen, was du geschrieben hast. Ich habe geschrieben, dass ich keine fünf Sekunden für meinen lokalen Server benötige, der kein Tomcat ist, um diesen über HTTPS erreichbar zu machen. Ich schrieb, dass ich nicht weiß, wie es bei Tomcat läuft, nur dass es machbar ist. Und ich schrieb, dass, sollte unverschlüsseltes HTTP irgendwann tatsächlich nicht mehr von Firefox unterstützt werden, man bei Tomcat vielleicht ja auch einen Weg gefunden hat, das weniger lästig zu machen. Dass die Zukunft verschlüsselt ist, ist ja schließlich keine Neuigkeit.
Das ist deine Annahme, weil du dich an meiner Formulierung aufhängst. Aber dir dürfte auch klar sein, dass auch ich nicht weiß, was in ein paar Jahren ist, und heute schlicht und ergreifend noch keine Aussage darüber getroffen werden kann, außer dass das auf absehbare Zeit nicht passieren wird – also genau das, was ich im Artikel schrieb. Was ich außerdem schrieb, war, dass bereits jetzt lokale Server nicht komplett gleich behandelt werden wie echte Server. Damit sagte ich aus, dass was auch immer für "draußen" entschieden wird, nicht zwangsläufig auch für lokale Server entschieden werden muss. Aber was tatsächlich passieren wird, wie gesagt, diese Frage kann heute nicht beantwortet werden.
Du hast nur dann Recht, wenn es um den Standard an sich oder um Implementierungen geht, die mit dem Thema überhaupt nichts zu tun haben. Hier geht es ausschließlich um den Browser. Und ausnahmslos jeder Browser verlangt HTTPS für HTTP 2.
Ich weis das das jetzt nichts mit dem thema zu tun hat. Dennoch: warum ist es nicht möglich auch kommentare hier im lesemodus zu lesen?
Die Leseansicht von Firefox rückt den Artikel in den Vordergrund, alles andere wird ausgeblendet.
ach so danke. Und ich dachte das nur störende Elemente wie Bilder ausgeblendet werden. Wieder was gelernt.
HTTPS ist IMMER eine verschlüsselte HTTP-Verbindung und nicht nur meistens… deswegen heist es ja HTTPS 🙂
HTTP/1.1 wird weiterhin unterstützt bleiben. Aber irgendwann wird eben der Zwang auf versclüsseltes HTTP/1.1 geben.
Dann werden sich in Zukunft die Technologien durchsetzen die einfach eine sichere Konfuguration erlauben. Oder Tomcat wird sich weiterentwickeln und die Konfiguration zukünftig einfacherer gestalten. Aber auch das ist ein Schritt in die richtige Richtung.