SSH 9.0- ja SFTP-protokollia käyttävän asiakkaan ja palvelimen avoin toteutus OpenSSH 2.0:n julkaisu on esitelty. Uudessa versiossa scp-apuohjelma on oletusarvoisesti vaihdettu käyttämään SFTP:tä vanhentuneen SCP/RCP-protokollan sijaan.
SFTP käyttää ennakoitavampia nimenkäsittelymenetelmiä eikä käytä glob-kuvioiden shell-käsittelyä tiedostonimien toisen isäntäpuolen puolella, mikä aiheuttaa tietoturvaongelmia. Erityisesti SCP:tä ja RCP:tä käytettäessä palvelin päättää, mitkä tiedostot ja hakemistot lähetetään asiakkaalle, ja asiakas tarkistaa vain palautettujen objektinimien oikeellisuuden, mikä asiakaspuolen asianmukaisten tarkistusten puuttuessa mahdollistaa palvelin siirtää muita tiedostonimiä, jotka poikkeavat pyydetyistä.
Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как «~/». Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола «[sähköposti suojattu]" laajentaa ~/- ja ~user/-polkuja.
SFTP:tä käytettäessä käyttäjät voivat myös kohdata yhteensopimattomuutta, joka johtuu tarpeesta kaksinkertaisesti välttää erityispolun laajennusmerkkejä SCP- ja RCP-pyynnöissä estääkseen etäpuolen tulkinnan. SFTP:ssä tällaista pakottamista ei vaadita, ja ylimääräiset lainaukset voivat johtaa tiedonsiirtovirheeseen. Samaan aikaan OpenSSH-kehittäjät kieltäytyivät lisäämästä laajennusta, joka toistaa scp:n käyttäytymisen tässä tapauksessa, joten kaksoispakoa pidetään virheenä, jota ei ole järkevää toistaa.
Muita muutoksia uudessa julkaisussa:
- Ssh:ssä ja sshd:ssä on hybridiavaimenvaihtoalgoritmi, joka on oletuksena käytössä "[sähköposti suojattu]"(ECDH/x25519 + NTRU Prime), kestää kvanttitietokoneiden poimimista ja yhdistettynä ECDH/x25519:ään estääkseen mahdolliset ongelmat NTRU Primessa, joita saattaa esiintyä tulevaisuudessa. KexAlgoritmien luettelossa, joka määrittää avaintenvaihtomenetelmien valintajärjestyksen, mainittu algoritmi on nyt ensimmäisenä ja sillä on korkeampi prioriteetti kuin ECDH- ja DH-algoritmeilla.
Kvanttitietokoneet eivät ole vielä saavuttaneet perinteisten avainten murtamisen tasoa, mutta hybridisuojaus suojaa käyttäjiä hyökkäyksiltä, jotka sisältävät siepattujen SSH-istuntojen tallentamisen siinä toivossa, että ne voidaan purkaa tulevaisuudessa, kun tarvittavat kvanttitietokoneet tulevat saataville.
- "copy-data" -laajennus on lisätty sftp-serveriin, jonka avulla voit kopioida tietoja palvelinpuolella siirtämättä sitä asiakkaalle, jos lähde- ja kohdetiedostot ovat samalla palvelimella.
- "cp"-komento on lisätty sftp-apuohjelmaan käynnistämään asiakas kopioimaan tiedostoja palvelinpuolella.
Lähde: opennet.ru