在为客户的网站进行一些 Web 开发工作时,我发现他们的服务器 (Windows 2003 VM) 启用了匿名 FTP。这不是他们想要的。
我尝试按照如下方式为他们关闭它:
在下面
IIS Manager -> FTP Sites -> Properties -> Security Accounts
有一个复选框Allow anonymous connections我认为我需要取消选中。但是当我取消选中它时,会出现以下警告消息:
The authentication option you have selected results in passwords being transmitted over the network without data encryption. Someone attempting to compromise your system security could use a protocol analyzer to examine user passwords during the authentication process. For more detail on user authentication, consult the online help. This warning does not apply to HTTPS (or SSL) connections.
现在,这听起来也不是我想要的东西。
这是我唯一的选择吗 - 禁用匿名 ftp 但启用未加密的密码 - 或者未加密的密码不是一个相关问题?
我是一名开发人员,通常在 Linux 环境中工作,因此在这两方面我有点力不从心。
答案1
它之所以会警告你,是因为你通常使用 FTP,它是纯文本的。禁用匿名连接将需要用户名/密码对,这正是 Windows 所抱怨的。这样做是安全的(尽管 FTP 通常并不“安全”)。