Devo usare FileZilla?

24

Recentemente, un numero crescente di persone ha iniziato a consigliare di allontanarsi da FileZilla. Tuttavia, l'unica ragione che posso vedere per questo è che FileZilla memorizza le informazioni di connessione in un formato completamente non criptato, ma come dice Mozilla - sicuramente è compito del sistema operativo proteggere i file di configurazione?

Quindi, c'è qualche altra ragione per cui non dovrei più usare FileZilla, dato che non ho mai avuto problemi con esso? Qualcuno mi ha detto che il modo in cui funziona non è sicuro, ma penso che si stiano confondendo semplicemente sul fatto che FTP trasmette comunque le password in testo normale.

    
posta Andy 22.07.2013 - 11:59
fonte

6 risposte

47

FileZilla di per sé non è intrinsecamente insicuro. Sì, memorizza le password in chiaro, ma le alternative sono solo leggermente più sicure. Vedete, la crittografia delle credenziali richiede una chiave di crittografia che deve essere memorizzata da qualche parte. Se un malware è in esecuzione sul tuo account utente, hanno accesso a quello che tu (o qualsiasi altra applicazione in esecuzione allo stesso livello) hai. Significa che avranno anche accesso alle chiavi di crittografia o alle chiavi che crittografano le chiavi di crittografia e così via.

La tua migliore opzione qui è quella di disabilitare la memorizzazione delle password in FileZilla

Quindiiniziaautilizzare KeePass per memorizzare le credenziali dell'account. Ci sono anche molte guide su Internet su come integrare KeePass con FileZilla . In questo modo, stai memorizzando la chiave di crittografia da qualche parte dove il malware non ha accesso; stai memorizzando la chiave di crittografia (o meglio, la password da cui deriva la chiave di crittografia) nel tuo cervello.

Infine (e forse questo è un po 'al di fuori della portata della tua domanda), assicurati di allontanarti dall'FTP in favore di SFTP .

    
risposta data 22.07.2013 - 12:54
fonte
12

A meno che l'alternativa non abbia un'opzione in cui è necessario fornire una password (utilizzata per crittografare le impostazioni contenenti IP e credenziali), non vedrei perché è necessario migrare.

Se si sta migrando da un'applicazione all'altra, è necessario assicurarsi che perché (in dettaglio) la nuova applicazione sia migliore della precedente.

    
risposta data 22.07.2013 - 12:33
fonte
2

Penso che una delle ragioni principali per cui le persone consigliano di allontanarsi da Filezilla è chiaramente il fatto che le password sono archiviate come testo normale e quindi, con facilità, rubate. La cattiva reputazione di Filezilla è iniziata alcuni anni fa quando alcuni malware iniziarono a utilizzare specificamente Filezilla. Usando difetti critici nei software di terze parti (ovvero il lettore flash e acrobat) questi malware sono stati in grado di rubare il file passowrd XML utilizzato da Filezilla per memorizzare le password. Il più delle volte, questi malware sono stati sradicati e puliti in pochi secondi, ma i dati sono stati rubati. Questi file di credenziali rubati sono stati quindi gestiti in una complicatissima rete di zombie bot collegata a ogni ftp contenuto nel file, sottoposta a scansione e propagando il malware in ogni file index.html / php trovato su questi FTP. In meno di 2 ore, tutti i siti Web FTP archiviati in filezilla sono stati infettati. Al momento, il processo è stato molto ben documentato da alcuni webmast delle vittime.

Probabilmente migliaia di webmaster, decine di migliaia di siti web, sono stati infettati a causa di questo. Molti hanno lamentato il fatto che le password non siano state crittografate.

La seconda ragione per cui le persone consigliano di allontanarsi da Filezilla è la reazione del team di sviluppo: invece di aggiungere questa funzione, hanno semplicemente rifiutato ogni argomento, rinviando la responsabilità a sistemi mal protetti o facendo finta che le password di crittografia non cambiassero qualsiasi cosa, che era responsabilità del sistema proteggere i dati.

Quindi per ora, se vuoi ancora usare Filezilla (che è un buon client ftp) dovresti prendere in considerazione la possibilità di disabilitare tutte le opzioni di memorizzazione della password e usare uno strumento di terze parti come Keepass. È un po 'fastidioso in * ma è più sicuro. Potresti anche trovare vantaggi extra con Keepass perché avrai uno strumento per centralizzare le credenziali crossprotocollo in un modo più sicuro

    
risposta data 26.08.2014 - 23:06
fonte
1

Può essere perché hanno recentemente stipulato accordi per iniziare a legare il malware con i loro download, e uno dei loro sviluppatori ha dato alla gente un brutto atteggiamento, sostenendo che non si tratta di malware, ma non è la sua decisione di battere come si può scegliere di non installalo dopo aver installato il programma di installazione per il caricamento di malware.

link

Potrebbero essere le password memorizzate in testo normale, ma dubito davvero che sia così tanto un problema per il pubblico della sicurezza come il raggruppamento di malware nel programma di installazione, aggiungendo opzioni che infastidiscono tutte le password nella barra di connessione rapida e solo recentemente scarsa attitudine verso le persone che cercano di lamentarsi di questi cambiamenti recenti. L'atteggiamento sembra essere che puoi sempre disattivare le opzioni di installazione del malware se sai cosa stai facendo, una volta scaricato il programma di installazione di malware.

    
risposta data 17.10.2013 - 04:21
fonte
1

FileZilla ora è dotato di malware e gli sviluppatori ne sono consapevoli e probabilmente ne ricavano denaro.

Cerca FileZilla Premieropinion in Google o leggi uno dei tanti thread sul forum di Filezilla:

link
link

Lo sviluppatore continua a dire che hai la possibilità di rinunciare, ma l'installer è CHIARAMENTE progettato per fuorviare le persone. Lavoro nel settore tecnologico (quindi sono generalmente consapevole dei problemi di sicurezza) e mi sono fatto prendere in giro, come innumerevoli altri. È stata anche la mia prima esperienza di malware con i Mac.

Non userò mai più FileZilla. Anche se puoi "opt-out", questo è chiaramente progettato per ingannare gli utenti e, peggio di tutto, lo sviluppatore copia semplicemente una risposta disonesta sui forum di FileZilla. Quindi, anche se il software potrebbe ancora funzionare, non accetterò mai l'atteggiamento dello sviluppatore. Il problema non è provare a monetizzare il tuo lavoro. Il problema sta cercando di ingannare i tuoi utenti.

    
risposta data 21.05.2015 - 03:31
fonte
0

Sto utilizzando la versione portatile 3.16.1 e le password sono crittografate. Una volta che il file di dati si trova in una directory diversa dal solito (es .: disco portatile) e tutte le password sono crittografate, è sufficientemente sicuro per me.

    
risposta data 18.04.2016 - 18:06
fonte

Leggi altre domande sui tag