通过 SFTP 存储敏感信息是否比通过 SOAP 更不安全？

Question

通过 SFTP 传输的文件是否比通过 SOAP 传输到数据库的相同数据安全性较低？

Answer 1

SFTP 非常安全。 “SFTP”中的“S”甚至代表安全。当然，这并不意味着通过 SFTP 传输的文件一定是安全的 - 只是如果安全性出现问题，您可能会责怪 SFTP 之外的其他原因。 SFTP 不会是薄弱环节。您仍然可能会使用弱密码、丢失证书、让特勤局突袭您的数据中心等等。

但是，SOAP 与安全性无关。 SOAP 请求是一个事物，它可以是安全的，也可以是不安全的，具体取决于它的发送方式。如果您通过 HTTP 发送 SOAP，那么它是极其不安全的。如果您通过 HTTPS 发送它，它可能相对安全，具体取决于您对 CA 的信任程度。使用 SOAP over HTTP 就像将 UPS 包裹留在家门口一样。很方便，但有人可以走过来拿走。

这样想：SOAP 是钱，HTTPS 是装甲车。除非有时装甲车由中国政府驾驶到完全不同的地点，除非你有适当的规则来防止这种情况发生。 （例如，Google Chrome 浏览器对特定域上的 CA 使用白名单。）

摘要：

• 如果您的证书正确，SFTP 就是安全的。
• 如果您的证书正确，则基于 HTTPS 的 SOAP 是安全的。
• HTTP 或 SMTP 上的 SOAP 不安全。

正确获取证书是唯一困难的部分。