curl项目SFTP连接安全性升级解析

背景介绍

curl作为一款广泛使用的命令行工具和库，近期在8.13.0版本中对SFTP协议的安全性处理进行了重要升级。这一变更影响了Windows平台上使用SFTP连接时的行为，特别是关于服务器主机密钥验证的默认处理方式。

变更内容

在8.13.0版本之前，当curl在Windows系统上建立SFTP连接时，如果找不到known_hosts文件（这是SSH/SFTP协议中用于存储已验证服务器公钥的文件），curl会发出警告但仍允许连接继续。这种行为虽然方便，但从安全角度来看存在潜在风险，因为无法验证远程服务器的真实性。

从8.13.0版本开始，curl改变了这一行为：当找不到known_hosts文件时，连接将直接失败，而不是继续连接。这一变更使curl在安全性方面采取了更为严格的默认策略。

技术原理

SFTP协议基于SSH协议，而SSH协议的安全性依赖于对服务器公钥的验证。known_hosts文件是SSH客户端用来存储已验证服务器公钥的标准机制。当客户端首次连接服务器时，会记录服务器的公钥；后续连接时会验证服务器提供的公钥是否与存储的一致，以防止中间人攻击。

Windows系统默认不提供known_hosts文件，这导致许多用户在不知情的情况下建立了不安全的SFTP连接。curl 8.13.0的变更正是为了解决这一问题。

解决方案

对于需要继续使用SFTP连接的用户，curl提供了几种解决方案：

1. 指定服务器公钥指纹：使用--hostpubsha256选项直接提供服务器的SHA256指纹。这是最安全的解决方案，因为它明确指定了预期的服务器公钥。

2. 创建known_hosts文件：在用户目录下创建.ssh/known_hosts文件，并添加目标服务器的公钥。

3. 使用旧版本：虽然不推荐，但可以暂时使用8.13.0之前的版本作为过渡方案。

安全建议

从安全最佳实践角度，建议用户：

1. 优先使用--hostpubsha256选项，这是最明确且安全的方式
2. 避免使用-k/--insecure选项绕过安全检查
3. 定期验证和更新服务器公钥信息
4. 对于自动化脚本，确保正确处理连接失败的情况

总结

curl 8.13.0对SFTP连接的这一变更体现了现代软件对安全性的重视。虽然短期内可能带来一些兼容性问题，但从长远来看，强制验证服务器身份的做法能够有效提升数据传输的安全性。开发者和系统管理员应当理解这一变更背后的安全考量，并采取适当措施更新他们的工作流程和自动化脚本。