-=BlackBoXX=- schrieb:
Somit weiß ich schon mal nicht was du mit "ein Port für das Protokoll" und "einen Port für den Transfer" meinst ...
beim ftp protokoll wird der port 21 für die liste an befehlen genutzt, und port 20 für den bloßen dateitransfer. inwiefern http die ports nutzt weiß ich nicht, da ich mich damit noch nicht wirklich beschäftigt habe. ftp ist indes schon ein klein wenig älter, wodurch ich sagen würde, dass die eigentlichen implementierungen weniger bugs aufweisen (sollten) als die von http (worüber es bestimmt keine statistiken gibt, von daher ist die aussage pauschal). ftp ist auch weniger umfangreich, was den verdacht nahe legt, dass weniger fehler eingebaut sind.
-=BlackBoXX=- schrieb:
Welche Implementierungen?
implementierungen sind umsetzung in sourcecode von einer bestehenden referenz. so in etwa kann man das wohl einfach ausdrücken. die implementierung wäre im weitesten sinne also der filezilla client (auf dieses beispiel bezogen).
-=BlackBoXX=- schrieb:
Was heißt "Code Injection?
wikipedia hat hierfür sehr gute und einfache beispiele. grob gesagt, kannst du mit code injection auf einfachste weise beliebigen schadcode ins system einschleusen. bei den beispielen von wikipedia, siehst du, dass du z.b. alle user (oder andere daten) einer datenbank einsehen kannst oder auch einen user löschen o.ä. natürlich gibts noch weitere, wie dll-injections, wo nachhaltig dll dateien geladen und ausgeführt werden, aber das lass ich mal aus (gibts bei wikipedia auch nen gut erklärenden artikel).
wie sicher hfs (was ja theoretisch ein webserver + aufsatz ist) im gegensatz zu ftp ist, wüsste ich jetzt nicht. aber sicherlich hat es mehr lücken, da auch ein frontend vorhanden ist, welches auf dem gleichen rechner läuft.
-=BlackBoXX=- schrieb:
Was heißen diese Befehle? Was sagen sie aus?
das sind ganz normale befehle, wie du sie auch aus spielen oder ähnlichen programmen her kennst. z.b. den inhalt eines verzeichnisses auflisten, eine datei downloaden o.ä. wenn du php oder andere programmiersprachen dagegen einsetzt, ist diese schar an "befehlen" (was hierbei funktionen, klassen und ähnliches betrifft) knapp unübersehbar (natürlich aufs frontend [z.b. die webseiten die du siehst] bezogen) und dadurch häufen sich viel mehr fehler an. darüber hinaus, musst du aber auch das backend (wäre z.b. der http server selbst) betrachten, welches auch noch fehler enthalten kann. stark übertrieben gesagt, könntest du also doppelt so viele sicherheitslücken haben, als mit einem ftp server (da der client ja immer clientseitig arbeitet und nur der server (das backend) mit dem clienten kommuniziert).
-=BlackBoXX=- schrieb:
Welcher Server wäre zB für sFTP empfehlenswert?
der filezilla ftp server wäre eigentlich eine gute und kostenlose alternative. ist auch der einzigste der mir dafür einfällt.
auf meinem rechner hab ich den gene6 ftp server laufen. kostet zwar nicht wenig, ist dagegen aber viel mächtiger. filezilla reicht aber für lans oder ähnliches (ab und zu zugriffe, weniger einstellungen, ...) ganz gut aus.
-=BlackBoXX=- schrieb:
Und vorallem, wo liegt der Unterschied zwischen FTP und sFTP?
s(ecure)ftp ist ftp über einen ssh tunnel, wodurch die daten (d.h. die befehle) verschlüsselt gesendet werden. ich glaub aber, dass du dich damit nicht befassen willst. von daher wäre ftps (ftp über ssl) auch eine gute alternative. ssl solltest du eigentlich kennen, dann weißt du auch was ftps ist - ftp mit verschlüsselung halt. unterstützung im filezilla server war, so weit ich mich erinnern kann, auch mit an board.