Hadmut Danisch

Ansichten eines Informatikers

FTP – ein untotes Protokoll meldet sich wieder

Hadmut
28.10.2021 0:11

Sony – Ich fass’ es nicht.

FTP ist ja nun ein Protokoll, von dem ich so froh war, dass es endlich tot und fort und abgesagt ist.

FTP in allen Ehren, es hat in der Frühzeit des Internet großen Nutzen gehabt, war sehr wichtig, ohne wäre es nicht gegangen. Aber gehört es eben auch hin, in die Steinzeit. Wohlverdient, in allen Ehren, aber tot. Weil eigentlich eine Fehlkonstruktion, aber konstruiert zu einer Zeit, als man das noch nicht wissen konnte. Weil es eine Kommandoverbindung gibt und dann für jede Dateiübertragung eine separate Verbindung in umgekehrter Richtung aufmacht. Das ist nicht nur für Firewalls sehr schwierig, sondern war auch ein enormes Sicherheitsproblem, weil der FTP-Server ursprünglich nicht geprüft hat, wohin der die Verbindung aufmachte, und jedes beliebige Ziel nahm, das ihm auf der Kommandoverbindung vorgegeben wurde. Man konnte so zum Beispiel Spam verschicken, indem man die Mail als SMTP-Befehlsfolge in eine Datei schrieb, auf einen FTP-Server erst hochlud, und dann gleich wieder herunterlud, dann aber die IP-Adresse des dortigen Mail-Relays und Port 25 angab, und der FTP-Server die Datei dann dort ablud, was der Mail-Relay dann als Mailübertragung interpretierte. Man erfand dann „passive FTP“, bei der die Datenübertragungsverbindung vom Client zum Server verläuft, aber auch das führte zu reichlich Problemen, wenn man hinter einer Firewall liegt. Verschlüsselung war nicht vorgesehen und kaum zu implentieren, weil ja dann mit Erfindung der Firewalls und der Application Filter die Firewall die Kommandoverbindung mitlesen musste, um mitlesen zu können, welche Ports sie aufmachen musste, oder sogar den Befehl per Proxy ändern musste, wenn es um NAT-Adressen ging.

Ich will daraus keinen Vorwurf formulieren, sondern im Gegenteil sagen, dass das eben eine Folge aus dem damaligen technischen Entwicklungsstand des Internet ist. Der erste RFC zu FTP stammt von 1980 und baut noch auf knowledge von TCP und TELNET auf. Damals war das Abhören noch kein Thema und die Verbindungen waren so langsam, dass man solche Methoden verwendete, und man musste das ja auch alles erst erforschen, lernen. Es waren ja die ersten Gehversuche. Altehrwürdig. Ehrwürdig, aber hoffnungslos veraltet. Und eigentlich auch längst tot.

HTTP hat FTP – zum Glück – längst völlig ersetzt. Zum Download sowieso, zum Upload indirekt, weil HTTP selbst zwar so gebaut ist, die FTP-Befehle zu imitieren, es also auch PUT, DELETE und auch POST gibt, aber die Logik dahinter nicht definiert ist und es auch kein spezifiziertes, maschineninterpretierbares INDEX-Format gibt. Man kann, wenn man unbedingt will, zumal man das dann entsprechend zu WEBDAV ergänzt hat, aber in der Regel wird da immer ein Web-Applikation dahinterstecken, was die Sache aber auch deutlich leistungsfähiger macht. Zumal HTTP firewalltechnisch unproblematisch und leicht zu verschlüsseln ist.

HTTP hat deshalb – aus gutem Grunde – FTP eigentlich völlig verdrängt. FTP ist tot. Ich kann mich gar nicht mehr erinnern, wann ich das letzte Mal FTP benutzt habe. 10, 15 Jahre her? Ich müsste erst mal nachdenken oder nachlesen, wie die Befehle hießen.

Früher konnten die Webbrowser die – in der Anfangszeit noch implementierten – Protokolle wie FTP und Gopher, weil Webbrowser in ihrer Anfangszeit keineswegs auf HTTP festgelegt waren. Das war noch neu und musste sich erst durchsetzen, und das Ziel war ja ursprünglich, einen einheitlichen und einheitlich zu bedienenden Client für verschiedene Protokolle zu haben, die damals üblich waren, damit man nicht zwischen drei Clients wechseln muss. Erst daraus hat sich HTTP dann durchgsetzt, und inzwischen hat man die Unterstützung für FTP und Gopher aus den Webbrowsern entfernt, weil das keiner mehr macht und sich HTTP als überlegen herausgestellt hat.

FTP in allen Ehren, aber Internet-Steinzeit, tot. Damals gut, aber seit ungefähr 20 Jahren hoffnungslos veraltet. Und vor allem: Nicht mehr benötigt. Durch HTTP, WEBDAV und so weiter ersetzt und drastisch verbessert. Man braucht es auch nicht mehr.

Aber, ach.

Während ich in Dubai war, hat Sony sein neustes Kamera-Modell α7 IV vorgestellt.

Interessiert mich natürlich, weil ich mir nicht so sicher bin, ob Nikon, die ja ohnhin schon ihre Spitzenposition etwas verspielt haben, und nicht mehr zu den größten Kameraherstellern zählen, noch gegen Sony bestehen können. Vieles macht Nikon besser, aber Nikon ist über seine Arroganz und vor allem Missmanagement und lausiges Produktmanagement gestolpert. Technisch schon gut, aber schlechtes Management und eine Serie von enttäuschenden Kameras, die Nikon-1-Serie und die Action-Cams waren einfach lausig. Sony dagegen hat das spiegellose Ding zwar nicht erfunden, aber in der Breite etabliert. Und es fällt eben auf, dass die China-Hersteller günstiger Objektive die zuerst für Bajonette wie Sony E, Fuji, mitunter sogar Leica anbieten, und erst dann und teilweise für Nikon Z.

Ich habe deshalb auch zwei Sony E-Kameras, allerdings beide nur gekauft, als sie schon alte Modelle waren und zum Schleuderpreis rausgehauen wurden, weil es schon lange die Nachfolgemodelle gab, eigentlich nur so zum Probieren, und weil ich noch alte Objektive für Minolta-Bajonette habe. Fühlt sich anders an, bisschen roh, bisschen unbehauen, kommt bei der Bild-Qualität auch nicht ganz an Nikon ran, die neueren Modelle sind beim Autofokus aber besser, und in Video sind sie eben gut.

Ich weiß also nicht, worauf es hinausläuft und übe mich in Zurückhaltung, Geduld und Marktbeobachtung. Und man will ja auch informiert sein. Zumal es bei Sony schon deshalb immer interessant ist, auf die neuen Modelle zu achten, weil die Sony-Kameras meines Erachtens zwar deutlich überteuert sind, sie aber nicht wie andere Hersteller für das untere Preissegment spezielle billige Plastikmodelle bauen, sondern einfach die alten, ehemals teuren Modelle weiterbauen und billiger verkaufen. Dem Erscheinen der α7 IV könnte (so war das bisher) ein Zeitraum folgen, in dem die III billig zu haben ist, weil die Händler sie aus den Lagern haben wollen.

Ich lese also gerade die Beschreibung der neuen α7 IV, die man an Zeitgeist und aktuelle Anforderungen angepasst hat, nämlich Live-Streaming und automatisches Hochladen von Bildern. Da haben schon mehrere Hersteller irgendwas implementiert, Panasonic hat sowas schon seit Jahren, ich glaube sogar Sony selbst, Nikon mit ihrer eigenen Software, aber es war eigentlich alles Murks. Jeder macht was anderes, keiner beschreibt es so genau, Nikon setzt voraus, dass man deren Software laufen lässt, die natürlich nur unter Windows und MacOS läuft, also darauf baut, dass das auf einem Arbeitsplatzrechner läuft. Da merkt man, dass das von Leuten geschrieben ist, die von Server-Technik nicht viel Ahnung haben. Die basteln an ihren Kameras, aber von allem außerhalb wissen sie nicht viel und frickeln da irgendwas zusammen.

Und dann steht da:

Dateiübertragung per FTP im Hintergrund

Fotos und Videos können über WLAN, schnelles kabelgebundenes LAN (über ein USB-Ethernet-Adapterkabel an den USB Type-C® Anschluss der Kamera) oder USB-Tethering mit Smartphone auf einen Remote-FTP-Server übertragen werden.

Sind die noch ganz dicht?

Gut, es mag ja sein, dass es eine Menge Fotografen und Agenturen gibt, die in ihrem LAN für sowas noch FTP-Server betreiben. Die Fotografen- und Agenturbranche ist in solchen Sachen auch schmerzbefreit, die bleiben gerne bei dem, was sie haben und 2003 doch schon so gut funktionierte.

Aber es ist nicht nur damit zu rechnen, dass es keine FTP-Server mehr gibt, die vom Autor/Hersteller überhaupt noch gepflegt werden und noch einsetzbar sind. Sondern es ist auch sehr gefährlich.

Denn die Leute werden sich nicht darauf beschränken, sowas im LAN einzusetzen. Ich war ja gerade auf der Expo, und da gab es fast überall kostensloses WLAN mit richtig gutem Durchsatz. Die Internet-Versorgung für das Publikum war sehr gut. Und da würde es sich anbieten und sicherlich von vielen genutzt werden, dass Fotos automatisch oder auf Auswahl durch den Fotografen gleich in eine Redaktion hochgeladen werden. Ich habe ja schon geschrieben, dass mir als Einzelkämpfer schlicht die Zeit fehlte, dort die Fotos noch zu sichten, bearbeiten, auszuwählen. Im Agenturbereich würden aber Leute vor Ort fotografieren und das automatisch in die Redaktion hochladen, wo Leute am dicken Rechner mit kalibriertem Monitor sitzen, die darauf spezialisiert sind und das ruckzuck durchbearbeiten.

Und das dann aus einem öffentlichen Netzwerk einmal um die Welt mit einem unverschlüsselten Protokoll und Passwort im Klartext? Mit einem Protokoll, das mehrere Verbindungen braucht und mit NAT Probleme hat?

Zugegeben, es wäre nicht einfach, einer Kamera HTTPS beizubringen, weil man das Problem der Verwaltung der Root-Zertifikate da nur schwierig lösen kann und die meisten Fotografen und Agenturen gar nicht erst verstünden, was das Problem ist und was sie tun müssen.

Aber irgendwie ist das ein ziemlicher Scheiß.

Wenn die was wären, hätten sich die Kamerahersteller mal zusammengesetzt und sich auf ein einheitliches Protokoll zum automatischen Bild-Upload geeinigt, damit man das endlich mal vereinheitlichen kann.

WEBDAV wäre schon mal ein geeignetes Protokoll. Unterstützen die Webserverm, NAS-Systeme und so weiter ja auch schon von Haus aus. Das Problem dürfte womöglich sein, der Kamera HTTPS/TLS beizubringen und die Root-Zertifikate zu verwalten (und auf der Kamera zu speichern).

Aber da kommen sie irgendwie nicht aus der Steinzeit raus.