Hvad er WebDAV: protokol, reelle anvendelser og alternativer

Hvis du har set ordet WebDAV i et stykke tid, og du stadig ikke helt forstår, hvad det er...Bare rolig, du er ikke alene. Mange forveksler det med en tjeneste som Dropbox eller Google Drive, når det i virkeligheden er noget helt andet: en protokol som mange lagringstjenester, private clouds og servere bruger, så du kan administrere filer eksternt, som om de var på din egen computer.

Hovedideen bag WebDAV er, at du kan åbne, redigere, flytte og slette filer på en fjernserver, ligesom du ville gøre i en lokal mappe.Det er ligegyldigt, om du er hjemme, på kontoret eller har forbindelse til en NAS på den anden side af verden: Hvis serveren og din enhed understøtter WebDAV, vil du se disse filer som et netværksdrev eller en anden mappe i dit operativsystem.

Hvad er WebDAV præcist?

WebDAV står for webbaseret distribueret redigering og versionsstyring.hvilket vi kunne oversætte til "distribueret webversionering og -kontrol". Det er en HTTP-protokoludvidelse Udviklet inden for IETF (organisationen der standardiserer mange internetprotokoller), så nettet ikke kun er til læsning, men også til redigering.

I stedet for blot at vise websider som normalt HTTP gørWebDAV tilføjer filhåndteringsfunktioner: oprettelse af mapper, kopiering, flytning, låsning af filer, ændring af egenskaber osv. Alt dette gøres ved hjælp af nye HTTP-metoder og yderligere headere. XML til beskrivelse af metadata og strukturer.

Tim Berners-Lees oprindelige vision for internettet omfattede muligheden for at redigere indhold direkte fra browseren.Den første WorldWideWeb-browser tillod brugerne at både læse og redigere eksterne sider, men det rigtige web udviklede sig til et stort set skrivebeskyttet miljø. WebDAV blev skabt netop for at forsøge at genvinde den distribuerede redigeringsfunktion over HTTP.

Formelt arbejde med WebDAV blev kanaliseret til en IETF-arbejdsgruppeMed tiden har den udgivet adskillige RFC'er (standarddokumenter), der definerer protokollen og dens udvidelser: funktionelle krav, basisprotokol, ordnede samlinger, adgangskontrol, forbedringer af MKCOL-metoden osv. Blandt de vigtigste er RFC 2518 (nu forældet) og 4918, som definerer kernen i protokollen.

Sådan fungerer WebDAV på protokolniveau

WebDAV monteres bogstaveligt talt over HTTP eller HTTPSMed andre ord bruges den samme port 80 eller 443 og de samme forbindelser stadig som til websurfing, men med tilføjelse af specifikke metoder. Dette har en meget praktisk konsekvens: Den passerer normalt gennem firewalls, NAT og proxyer uden problemer.fordi det i netværkets øjne er "simpel webtrafik" (selvom det gør meget mere).

Protokollen introducerer en række nye metoder via HTTP, som tillader manipulation af såkaldte ressourcer (filer eller mapper identificeret af en URL eller URI):

• PROPFIND: henter egenskaberne for en ressource (i XML) og kan også vise samlingsstrukturen, dvs. det eksterne "mappehierarki".
• PROPPATCH: ændrer eller sletter flere egenskaber for en ressource i en enkelt atomoperation.
• MKCOLopretter nye samlinger, hvilket i praksis svarer til at oprette mapper eller mapper.
• COPYkopierer en ressource fra én URL til en anden inden for den samme server eller til en anden kompatibel server.
• MOVEflytter eller omdøber en ressource, og ændrer dens placering eller sti.
• LOCK: blokerer en ressource for at forhindre samtidige ukontrollerede ændringer; der kan være delte eller eksklusive låse.
• UNLOCKfjerner en tidligere etableret lås på en ressource.
• SØGI nogle udvidelser giver det dig mulighed for at udføre søgninger på WebDAV-serverens ressourcer.

Alle disse metoder fungerer på "ressourcer" identificeret af en URIFra slutbrugerens synspunkt præsenteres disse ressourcer normalt som filer og mapper, som du ser i din filoversigt, men på netværksniveau er de stadig URL'er, der betjenes af HTTP/HTTPS.

Brugen af ​​XML er et karakteristisk træk ved WebDAVDen bruges til at repræsentere egenskaber, mappestrukturer, søgeresultater og andre metadata. Dette gør protokollen ret fleksibel, selvom den også introducerer en vis overhead med hensyn til headerstørrelse og behandling.

Hvad giver WebDAV dig mulighed for i praksis?

Fra brugerens synspunkt bruges WebDAV til at håndtere filer på en fjernserver, som om de var lokale.I systemer som Windows, macOS eller Linux kan en WebDAV-ressource monteres som en netværksdrev eller monteringspunktså ethvert program kan åbne og gemme dokumenter på den uden at vide, at det arbejder mod internettet.

Typiske handlinger aktiveret af WebDAV inkluderer:

• Kopier og flyt filer inden for serveren uden først at skulle downloade dem til brugerens computer.
• Opret, omdøb og slet mapper (samlinger) direkte på den eksterne server.
• Rediger filegenskaber og andre ressourcer, såsom yderligere metadata, som serveren eller applikationen bruger.
• Opsæt låse således at mange brugere kan læse en fil med mange filer, men kun én kan redigere den ad gangen.
• Søg efter indhold i store mappestrukturer, afhængigt af mulighederne i PROPFIND og søgeudvidelser.

For administratoren forvandler aktivering af en WebDAV-mappe en webserver til et samarbejdsmiljø for publicering.Du skal blot definere de mapper, der skal eksponeres, tildele tilladelser til brugere eller grupper (skrivebeskyttet, læse/skrive osv.), og om ønsket kan du tilføje ekstra sikkerhedslag, såsom grundlæggende godkendelse, digest-godkendelse eller kontrolleret anonym adgang.

En interessant funktion er, at WebDAV kan fungere krypteret ved hjælp af HTTPSHvis et SSL/TLS-certifikat er konfigureret på serveren, sendes al kommunikation (inklusive legitimationsoplysninger og data) beskyttet, normalt med robust kryptering såsom 256-bit AES, afhængigt af serverkonfigurationen.

Fordele og ulemper ved WebDAV

Fordi WebDAV er HTTP-baseret, bruger det velkendte standardporte. (80 for HTTP og 443 for HTTPS). Dette letter i høj grad brugen på tværs af netværk med strenge sikkerhedspolitikker, fordi disse porte sjældent blokeres uden en meget specifik grund.

En anden stærk fordel er dens brede kompatibilitet med webservere og operativsystemer.Servere som Apache, Nginx, lighttpd, Microsoft IIS, SabreDAV (i PHP) eller cloudløsninger som ownCloud og Nextcloud tilbyder native WebDAV-support eller support gennem moduler og plugins.

På administrationsniveau forenkler WebDAV konfigurationen af ​​fjernadgang betydeligt.I modsætning til andre delingsprotokoller (FTP, visse SMB-tilstande osv.) kræver det normalt ikke åbning af usædvanlige porte eller konfiguration af komplekse passive portintervaller, hvilket reducerer risikoen for fejl og huller i firewallen.

Dog er ikke alt perfektEn af svaghederne ved WebDAV er, at Den viser kun den aktuelle version af dokumentetAvanceret versionskontrol (historik, revisionskommentarer osv.) er ikke en del af basisprotokollen, så det er nødvendigt at stole på eksterne applikationer eller samarbejdsløsninger, der implementerer det på egen hånd.

Der er også nogle praktiske ulemper:

• Kompleksiteten af ​​installation og finjusteringFor en bruger uden grundlæggende kendskab til webservere kan korrekt konfiguration af WebDAV være noget kompliceret.
• Sikkerhedsrisici ved forkert konfigurationAt eksponere en WebDAV til internettet uden HTTPS eller tilstrækkelig adgangskontrol kan åbne døren for datatyveri, ondsindede filuploads eller endda kodeudførelse.
• Begrænset ydeevne i scenarier med mange filer eller langsomme linksMed store datamængder eller netværk med høj latenstid kan andre protokoller fungere bedre.
• Visse kompatibilitetsproblemer med specifikke applikationerSelvom operativsystemet understøtter WebDAV, fungerer ikke alle programmer lige godt med drev, der er monteret ved hjælp af denne protokol.

Ydeevne og faktorer, der påvirker WebDAV

WebDAV-ydeevnen afhænger i høj grad af forbindelsens kvalitet og hvordan den er implementeret på serveren og klienten.Når du bruger HTTP, påvirkes du i høj grad af netværkslatens: jo længere tid serveren tager om at reagere, desto dårligere er følelsen af ​​jævnhed, når du åbner og gemmer filer.

Som en grov vejledning er 1-5 Mbps båndbredde normalt tilstrækkelig til komfortabel redigering af dokumenter.Til multimedie- eller store dataoverførsler anbefales en latenstid på 10-25 Mbps eller højere. Latenstider under 50 ms giver generelt en rimelig jævn oplevelse.

Selve protokoldesignet introducerer en vis overhead.Dette gælder især for små filer, fordi hver operation involverer yderligere HTTP-headere og XML-strukturer. Derimod er det normalt mere effektivt at sende én stor fil ad gangen end at håndtere tusindvis af små filer.

Den specifikke implementering af WebDAV-serveren og -klienten gør også en forskel.Ikke alle Apache-, Nginx-, IIS-moduler eller de forskellige klientbiblioteker er lige optimerede, og dette kan mærkes i hastigheden af ​​listning, kopiering eller synkronisering.

Hvis HTTPS bruges, tilføjer SSL/TLS-kryptering ekstra CPU-overhead.I nuværende hardware er denne omkostning normalt minimal, men i enheder med få ressourcer (ældre NAS-enheder, routere med lagringsfunktioner osv.) kan den have en synlig effekt.

Robusthed og fejltolerance

Selvom WebDAV ikke i sig selv er et system med høj tilgængelighedMange implementeringer er integreret i infrastrukturer med redundans, replikering og backup, som overføres til adgang via WebDAV.

I veldesignede miljøer kan data lagres på flere servere eller lokationer.så hvis en fejler, fortsætter applikationerne med at se de tilgængelige WebDAV-ressourcer via load balancing eller failover-mekanismer, der opererer bag kulisserne.

Brug af detaljerede HTTP-statuskoder hjælper med at opdage problemer og håndtere dem bedre.Når en handling mislykkes (på grund af tilladelser, diskplads, aktiv lås osv.), svarer serveren med en tydelig kode, som klienten kan fortolke for at informere brugeren.

Mange implementeringer inkluderer versionskontrol og gendannelsesfunktioner.så hvis der opstår en fejl, eller et dokument overskrives ved et uheld, er det muligt at vende tilbage til en tidligere stabil version, selvom dette afhænger af det specifikke program, der bruger WebDAV som transport.

WebDAV-kompatibilitet med operativsystemer

En af WebDAVs store styrker er, at det er native understøttet af de tre store desktop-operativsystemer.Windows (fra XP og fremefter), macOS og de fleste Linux-distributioner. Det betyder, at du i mange tilfælde ikke behøver at installere noget ekstra for at begynde at bruge det.

I Windows er WebDAV-klienten integreret i Stifinder. via WebClient-tjenesten. Du kan "tilføje en netværksplacering" eller "vedhæfte et drev" ved at pege på en WebDAV-URL, og du vil se den eksterne ressource, som om den bare var en anden disk i systemet.

På macOS giver Finder dig mulighed for at oprette forbindelse til WebDAV-servere fra menuen "Gå > Opret forbindelse til server...".ved at indtaste den tilsvarende adresse. Når den er godkendt, er volumen monteret og vises både på skrivebordet og i afsnittet med delte ressourcer.

I Linux-skrivebordsmiljøer understøtter filhåndteringsprogrammer som Nautilus (Filer), Nemo, Dolphin, Thunar eller PCManFM WebDAV.Normalt er det nok at bruge URL'er som denne. davs://server o webdav://server/sti så de kan monteres som eksterne filsystemer.

Til mere avanceret brug i Linux kan du bruge davfs2-filsystemet., som tillader montering af en WebDAV-ressource via fstab, som om det var et hvilket som helst andet fjernsystem, så den integreres i opstartsprocessen og bliver tilgængelig i en specifik brugermappe.

Eksempler på servere og tjenester, der bruger WebDAV

Mange populære webservere inkorporerer WebDAV-moduler. eller de kan tilføje dem:

• microsoft IISinkluderer sit eget WebDAV-modul, der er meget brugt i Windows-miljøer i virksomheder.
• Apache HTTP ServerDen har adskillige moduler (såsom mod_dav, mod_dav_fs) og tilknyttede værktøjer såsom davfs2 eller Subversion, som udnytter WebDAV til bestemte operationer.
• NginxDet kan integreres med PHP eller tredjepartsløsninger som SabreDAV for at tilbyde WebDAV-funktioner.
• SabreDAVPHP-framework, der tilføjer WebDAV-understøttelse til Apache- eller Nginx-servere.
• Nextcloud og ownCloudPrivate cloudplatforme, der eksponerer deres data via WebDAV, så de kan monteres som eksterne drev.

I NAS-verdenen (netværkstilsluttet lagring) tilbyder producenter som QNAP eller Synology også WebDAV-understøttelse. som standard via specifikke applikationer eller moduler, som tillader, at delte mapper eksponeres for internettet eller det lokale netværk uden at ty til SMB eller FTP.

Selv nogle kommercielle cloud-lagringstjenester, såsom pCloud, tilbyder adgang via WebDAVI tilfælde af pCloud bruges der for eksempel en specifik URL (f.eks. https://ewebdav.pcloud.com (for det europæiske datacenter) sammen med kontoens e-mail og adgangskode for at montere lageret, som om det bare var endnu en delt mappe, selv fra en NAS.

Konfiguration af WebDAV på NAS-enheder som QNAP og Synology

På en QNAP NAS skal du normalt foretage et par trin i kontrolpanelet for at aktivere WebDAV.Normalt tilgår du afsnittet om applikationsservere og aktiverer WebDAV-tjenesten i webserveren, som som standard er deaktiveret.

Når tjenesten er aktiveret, vælges de HTTP- og HTTPS-porte, der skal bruges. (du kan beholde standardindstillingerne eller tildele andre specifikke indstillinger til WebDAV) og beslutte, om du vil arve tilladelserne for de delte mapper eller definere dine egne tilladelser til adgang via WebDAV.

Hvis du vælger specifikke tilladelser, skal du gå til sektionen for delte mapper på NAS'en.Rediger hver enkelt, og vælg tilladelsestypen "WebDAV-adgang", og tildel læse-/skriverettigheder til de ønskede brugere eller grupper. Derfra vil disse ressourcer være klar til at blive monteret fra kompatible klienter.

I Synology involverer processen installation af pakken "WebDAV Server" fra Pakkecenteret.Når den er åbnet, skal du markere felterne for at aktivere HTTP og HTTPS (sidstnævnte anbefales) og konfigurere portene. I de avancerede indstillinger kan du aktivere anonym adgang under visse betingelser, administrere adgangsdybden (DavDepthInfinity) og aktivere detaljeret WebDAV-hændelseslogning.

I begge tilfælde (QNAP og Synology) er den sædvanlige praksis at kombinere WebDAV over HTTPS med gode tilladelsespolitikker og, hvis den er eksponeret for internettet, at stole på en VPN eller en reverse proxy med yderligere godkendelse. at reducere angrebsfladen.

Oprettelse af forbindelse til WebDAV fra Windows, macOS og Linux

I Windows 10 og 11 er WebDAV-klienten baseret på WebClient-tjenesten.Først og fremmest er det tilrådeligt at gennemgå visse parametre i registreringsdatabasen, såsom Grundlæggende godkendelsesniveausom styrer, hvornår grundlæggende godkendelse er tilladt (kun over SSL, over SSL og ikke SSL, eller deaktiveret).

Sådan tilføjer du en WebDAV-netværksplacering i Windows Dette gøres normalt fra "Denne pc": højreklik på et tomt område, "Tilføj en netværksplacering", vælg en brugerdefineret placering og angiv serverens URL (med HTTP eller HTTPS, hvor sidstnævnte anbefales, så længe serveren har et gyldigt certifikat).

Under guiden indtastes brugerlegitimationsoplysningerne, og forbindelsen tildeles et navn.Derfra vises netværksplaceringen i Stifinder, og du kan trække, åbne og gemme filer, som om det var en normal delt mappe.

På macOS er proceduren endnu mere ligetilÅbn Finder, gå til menuen "Gå > Opret forbindelse til server...", indtast WebDAV-URL'en, og efter at du har indtastet dit brugernavn og din adgangskode, vises drevet monteret på skrivebordet og i sidebjælken som en delt ressource.

I Ubuntu og andre GNOME-baserede distributioner kan du bruge indstillingen "Opret forbindelse til server..." i menuen Steder.Vælg WebDAV-tjenestetypen (HTTP eller HTTPS), indtast URL'en, brugernavnet (ofte i e-mailformat) og adgangskoden. Filhåndteringen vil derefter montere WebDAV-mappen og give dig mulighed for nemt at administrere filerne.

For konsolmiljøer fungerer værktøjer som Cadaver som en "terminal WebDAV-klient"Den opretter forbindelse til en fjern URL, beder om et brugernavn og en adgangskode og tilbyder shell-lignende kommandoer (ls, get, put, mv osv.) til at administrere ressourcer, ligesom smbclient gør med SMB-shares.

Brug af WebDAV med specialiserede værktøjer (rclone, davfs2 osv.)

Ud over de klienter, der er integreret i systemet, findes der specifikke værktøjer, der udnytter WebDAV i høj grad.. En af de mest kendte er rclone, som fungerer som en "schweizerkniv" til synkronisering og betjening af eksterne filsystemer.

Med rclone kan du eksponere en storage-backend som en WebDAV-server ved hjælp af kommandoer i stilen rclone serverer webdav fjernbetjening: sti, justering af parametre såsom port, TLS-certifikater, godkendelse med htpasswd-fil (normalt med adgangskoder krypteret med BCrypt), cachestørrelse og -politik osv.

I Linux tillader davfs2 dig at montere WebDAV-ressourcer som normale filsystemer. via /etc/fstab- eller mount/umount-kommandoer, gemmer legitimationsoplysninger i sikre konfigurationsfiler (~/.davfs2/secrets) og tillader automatisk montering af drev ved login.

Disse værktøjer er især nyttige til at integrere tjenester som Nextcloud, ownCloud, pCloud eller endda rclone-backends i backup-scripts., planlagte synkroniseringer eller permanente monteringer, der opfører sig som lokale diske, selvom de rent faktisk bruger WebDAV.

Sikkerhedsrisici og angreb på WebDAV

Netop fordi det er så bekvemt og nemt omgår firewalls, er WebDAV et interessant mål for angribere. Når en udvidelse af HTTP til at tillade filuploads og -redigering uden tilstrækkelig beskyttelse udsættes for internettet, betyder det, at hvis den er forkert konfigureret, kan det ende med at give alle mulighed for at uploade farlige filer til serveren.

En typisk fase af et angreb mod en WebDAV-server er optælling.Det vil sige, for at finde ud af, hvilke ressourcer der er eksponeret, hvilke filtypenavne der er tilladt, hvilke metoder der er aktiveret, og hvilke sikkerhedsindstillinger der er anvendt (eller ej).

Værktøjer som Davtest bruges i vid udstrækning i audits og penetrationstest.I bund og grund uploader Davtest et stort antal filer med forskellige filtypenavne for at se, hvilke der accepteres og i sidste ende udføres af serveren, hvilket hjælper med at detektere vektorer til fjernudførelse af kode.

Udover at fungere som en legitim klient, bruges kadaver også i offensiv testning. at navigere i ressourcetræet, uploade ondsindede "webshells" eller filer, hvor konfigurationen tillader det, og kontrollere robustheden af ​​autorisationen og godkendelsen.

For at minimere disse risici er det vigtigt at anvende god praksis.Begræns hvilke ruter der eksponeres via WebDAV, deaktiver unødvendige metoder, filtrer farlige udvidelser, brug HTTPS med aktuelle certifikater, håndhæv stærke adgangskoder og forny dem ofte, begræns adgang til betroede netværk eller via VPN og overvåg logfiler for unormal adfærd.

WebDAVs forhold til cloudlagring

WebDAV er ikke "endnu en Dropbox", men en protokol, som mange lagringstjenester bruger under kølerhjelmen. for at give dig fjernadgang til dine filer fra forskellige enheder. Forskellen er, at du i stedet for altid at være afhængig af hvert enkelt mærkes officielle klient, kan bruge WebDAV til at integrere disse data med dit operativsystem på en standardmåde.

Hvis du ønsker at få adgang til dine dokumenter hjemmefra og fra arbejdetWebDAV kan være en central del: du kan konfigurere din server (eller din virksomheds, eller en NAS, eller en kompatibel cloud-tjeneste) som et drev på begge computere og arbejde med de samme filer uden at skulle kopiere ting til USB eller sende dem via e-mail.

I private clouds som Nextcloud eller ownCloud er WebDAV den primære mekanisme til at eksponere filer for eksterne klienter.Desktopklienter bruger det typisk internt, men du kan også montere det direkte på operativsystemet eller på en NAS for f.eks. at lave automatiske sikkerhedskopier fra dine lokale mapper til skyen.

Tjenester som pCloud, integreret via WebDAV i en QNAP, Synology eller lignende NAS, giver dig mulighed for at behandle skyen som blot endnu en delt mappe.Derfra kan du starte sikkerhedskopier af store mængder data, planlægge scripts eller blot bruge den som en "ekstern harddisk", der er tilgængelig hvor som helst.

I den forstand er WebDAV mere et alternativ eller teknisk supplement til protokoller som SMB, FTP eller SFTP.I stedet for at være en direkte konkurrent til et specifikt "cloud"-mærke, leverer den standardmekanismen; "lagringstjenesten" kan være hjemme hos dig, din virksomhed eller hos en ekstern udbyder.

Alternativer til WebDAV til fildeling

Afhængigt af scenariet kan du være interesseret i at bruge andre protokoller i stedet for WebDAV.Hver enkelt har sine fordele og ulemper, så det er værd at holde dem på radaren.

SMB/CIFS (det klassiske "Microsoft Networking") er kongen af ​​lokale netværk i Windows-miljøer.I sine moderne versioner (såsom SMB 3.0) tilbyder den stærk autentificering og datakryptering med AES, hvilket gør den til en meget sikker mulighed inden for et LAN.

SMB er dog ikke designet til at være direkte eksponeret for internettet.At åbne sine porte udad udgør en meget alvorlig risiko for privatlivets fred og sikkerhed, så hvis fjernadgang er nødvendig, er det normalt indkapslet i en VPN i stedet for at åbne den direkte.

FTP er en anden klassisk metode til at overføre filer både på lokale netværk og over internettet.Det giver dig mulighed for nemt at uploade og downloade filer, men traditionel FTP krypterer hverken godkendelsen eller dataene, hvilket gør det meget usikkert på upålidelige netværk.

For at øge sikkerheden til FTP findes der variationer som FTPS eller FTPES.som indkapsler forbindelser i SSL/TLS og tillader brugen af ​​stærke krypteringer såsom AES-128-GCM, hvilket afhjælper problemerne med almindelig FTP.

SFTP er derimod baseret på SSH-protokollen og krypterer både legitimationsoplysninger og data fra start til slut.Det er en af ​​de mest anbefalede muligheder, når den absolutte prioritet er sikkerhed i fjerntliggende miljøer, selvom dens semantik og brug minder mere om SSH end om HTTP.

Der findes også løsninger og protokoller rettet mod synkronisering og indholdsstyring, som:

• rsync: værktøj fokuseret på synkronisering af mapper, meget effektivt til trinvise sikkerhedskopier.
• AtomPubHTTP-protokol til oprettelse og opdatering af webressourcer, brugt i nogle CMS'er.
• CMIS (Interoperabilitetstjenester til indholdsstyring)åben standard, så forskellige dokumenthåndteringssystemer kan udveksle information.
• SyncthingPeer-to-peer, decentraliseret og sikker synkronisering mellem enheder, stærkt orienteret mod arbejde i realtid uden at skulle gennem en klassisk central server.

Valget mellem WebDAV og disse alternativer afhænger af det specifikke tilfælde.Netværkstype (lokalt eller internet), sikkerhedsbehov, nem konfiguration, krav til samarbejde, filstørrelse og værktøjer, der er tilgængelige i dit miljø.

I sidste ende er WebDAV forblevet et meget alsidigt værktøj til at få adgang til eksterne filer ved hjælp af HTTP/HTTPS.Dette er især nyttigt, når du vil behandle en server, NAS eller privat cloud, som om det var en lokal mappe, der er tilgængelig fra ethvert moderne operativsystem, hvilket kombinerer betydelig bekvemmelighed med rimelige sikkerhedsmuligheder, hvis det er konfigureret korrekt.