Noté que no todos los clientes FTPS admiten la reutilización de la sesión y me pregunto si es una opción de seguridad crítica que debe dejarse habilitada en el servidor.
Supongo que es posible que un atacante secuestre la conexión de datos incluso si se usa SSL / TLS tanto para el control como para la conexión de datos, si la opción de reutilización de la sesión no está habilitada. ¿Alguien podría ayudar a confirmar / refutar esto y dar explicaciones más detalladas?
También encontré esto: VU # 2558 El protocolo de transferencia de archivos permite el secuestro de la conexión de datos a través de la condición de carrera en modo PASV , sin saber si es relevante ya que no menciona SSL / TLS en absoluto.