FTP-Unterstützung wird in Firefox Nightly deaktiviert

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.

Die Verschlüsselung von Daten spielt eine wichtige Rolle für die Sicherheit. Dies betrifft nicht nur die Verwendung von HTTPS anstelle von HTTP. Auch über das FTP-Protokoll können Daten unverschlüsselt übertragen werden. In Kürze wird die FTP-Unterstützung in Firefox Nightly deaktiviert werden. Entgegen der Berichterstattung auf diversen anderen Seiten jedoch nicht in der finalen Version von Firefox 77.

Während weltweit bereits mehr als 82 Prozent aller HTTP-Verbindungen von Firefox-Nutzern verschlüsselt über HTTPS abgewickelt werden und in den USA sogar über 91 Prozent, kann die Unterstützung von unverschlüsseltem HTTP vermutlich noch lange Zeit nicht aus Firefox entfernt werden. Daran ändert auch der neue HTTPS-only-Modus von Firefox 76 nichts.

Firefox unterstützt aber auch noch das unverschlüsselte FTP-Protokoll. Dessen verschlüsselte Varianten FTPS und SFTP wurden von Firefox noch nie unterstützt. Und die Verwendung von FTP in Firefox liegt bei mageren 0,05 Prozent.

Aus Sicht von Mozilla gibt es für Websites keinen Grund, das unsichere Protokoll FTP gegenüber HTTPS für den Download von Dateien vorzuziehen. Dazu kommt, dass die Implementierung der FTP-Unterstützung in Firefox schon sehr alt und schwer zu warten sei. Auch hätte Mozilla in der Vergangenheit schon einige Sicherheitsprobleme in der FTP-Implementierung gefunden, die zu beheben waren, womit die FTP-Unterstützung für die Entwickler auch immer als potentieller Angriffsvektor betrachtet werden muss.

Bereits seit Firefox 60 besitzt Mozillas Browser eine Option, um die FTP-Unterstützung in Firefox abzuschalten. Mozilla wird die FTP-Unterstützung in der Nightly-Version von Firefox in Kürze standardmäßig abschalten.

Entgegen der Berichterstattung auf diversen anderen IT-Websites betrifft dies nicht die finale Version von Firefox 77. Die standardmäßige Deaktivierung der FTP-Unterstützung bleibt vorerst auf Nightly-Versionen limitiert – und kann auch seitens Nutzer wieder eingeschaltet werden. Ein Termin für die vollständige Entfernung der FTP-Unterstützung aus Firefox steht zu diesem Zeitpunkt noch nicht fest. Dies wird aber frühestens im Jahr 2021 passieren.

Für die Nutzung von FTP, einschließlich dessen sicherer Varianten, gibt es weit bessere Alternativen, zum Beispiel das kostenlose Programm FileZilla, welches für alle relevanten Desktop-Plattformen (Windows, macOS, Linux) verfügbar ist. Für die allermeisten Websites ist das FTP-Protokoll aber sowieso völlig irrelevant.

Der Beitrag FTP-Unterstützung wird in Firefox Nightly deaktiviert erschien zuerst auf soeren-hentzschel.at.

Antworten 9

  • Zitat

    Die standardmäßige Deaktivierung der FTP-Unterstützung bleibt vorerst auf Nightly-Versionen limitiert – und kann auch seitens Nutzer wieder eingeschaltet werden

    Wie? wahrscheinlich via about:config schätze ich. Vielleicht den Artikel noch um den Wert, wie man das wieder aktiviert, ergänzen?

  • Ich schätze mal: network.ftp.enabled

  • Sofern dieser Schalter genutzt und nicht ein anderer Schalter eingeführt wird, dann ist der genannte Schalter. Aber das kann ich erst im Artikel ergänzen, wenn es umgesetzt ist.

  • Also In Fenix nix ist der Schalter so (schon) da, hat dort aber so alleine (noch) keine Wirkung.

  • Der von dir genannte Schalter existiert seit Firefox 60. Ob der Schalter genutzt wird, um die standardmäßige Deaktivierung umzusetzen, kann aber wie gesagt erst gesagt werden, wenn die Deaktivierung erfolgt ist. Manchmal werden Schalter ja auch umbenannt und es bringt nichts, wenn ich im Artikel jetzt etwas ergänze, was noch gar nicht gesichert ist.

  • Ist bekannt, wie die Reaktion des Browsers aussehen soll, wenn man dann auf eine FTP-Link klickt? Soll das dann so wie bei News- (Usenet-) und Maillinks funktioneren?

  • Da ja bereits für diverse Protokolle eine Zuordnung von Protokoll und Anwendung möglich ist, wird das dann mit ftp:// vermutlich genauso funktionieren. Aber Belastbares zur Umsetzung kann ich dir erst sagen, wenn es umgesetzt ist.

  • Alles klar wie Kloßbrühe.

  • Diskutiere mit!