it-swarm-eu.dev

Dovrei usare FileZilla?

Di recente, un numero crescente di persone ha iniziato a consigliare di abbandonare FileZilla. Tuttavia, l'unica ragione per cui riesco a vedere è che FileZilla memorizza le informazioni sulla connessione in una forma completamente non crittografata, ma come dice Mozilla - sicuramente è compito del sistema operativo proteggere i file di configurazione?

Quindi, c'è qualche altro motivo per cui non dovrei più utilizzare FileZilla, poiché non ho mai avuto problemi con esso? Qualcuno mi ha detto che il modo in cui funziona non è neanche sicuro, ma penso che si stessero solo confondendo sul fatto che FTP trasmette le password in testo normale comunque.

25
Andy

FileZilla di per sé non è intrinsecamente insicuro. Sì, memorizza le password in testo semplice, ma le alternative sono solo leggermente più sicure. Vedete, la crittografia delle credenziali richiede una chiave di crittografia che deve essere archiviata da qualche parte. Se un malware è in esecuzione sul tuo account utente, ha tanto accesso a ciò che tu (o qualsiasi altra applicazione in esecuzione allo stesso livello). Ciò significa che avranno anche accesso alle chiavi di crittografia o alle chiavi che crittografano le chiavi di crittografia e così via.

L'opzione migliore qui è disabilitare l'archiviazione della password in FileZilla

disable-password-save-filezilla

Quindi inizia a utilizzare KeePass per memorizzare le credenziali del tuo account. Ci sono anche molti guide su Internet su come integrare KeePass con FileZilla . In questo modo, stai memorizzando la chiave di crittografia da qualche parte in cui il malware non ha accesso; stai memorizzando la chiave di crittografia (o meglio, la password da cui deriva la chiave di crittografia) nel tuo cervello.

Infine (e forse questo è un po 'al di fuori dell'ambito della tua domanda), assicurati di allontanarti dall'FTP a favore di SFTP .

48
Adi

A meno che la tua alternativa non abbia un'opzione in cui devi fornire una password (che viene utilizzata per crittografare le tue impostazioni contenenti IP e credenziali), non vedrei perché dovresti migrare via.

Se stai eseguendo la migrazione da un'applicazione a un'altra, devi assicurarti che perché (in dettaglio) la nuova applicazione sia migliore della precedente.

12
Lucas Kauffman

Penso che uno dei motivi principali per cui le persone consigliano di allontanarsi da Filezilla sia chiaramente il fatto che le password sono memorizzate come testo semplice e, quindi, facilmente rubate. La cattiva reputazione di Filezilla è iniziata alcuni anni fa, quando alcuni malware hanno iniziato a colpire specificamente Filezilla. Utilizzando difetti critici nei software di terze parti (vale a dire il lettore flash e acrobat) questi malware sono stati in grado di rubare il file passowrd XML che Filezilla utilizza per archiviare le password. Il più delle volte, questi malware venivano sradicati e puliti in pochi secondi, ma i dati venivano rubati. Questi file di credenziali rubati sono stati quindi gestiti in una rete zombi bot molto complicata che si collegava a ogni ftp contenuto nel file, scansionandolo e propagando malware in ogni file index.html/php trovato su questi FTP. In meno di 2 ore, tutti i siti Web ftp archiviati in filezilla sono stati infettati. Al momento, il processo è stato ben documentato da alcuni webmaster delle vittime.

Probabilmente migliaia di webmaster, decine di migliaia di siti Web, sono stati infettati da questo. Molti molti si sono lamentati del fatto che le password non erano crittografate.

Il secondo motivo per cui le persone consigliano di allontanarsi da Filezilla è la reazione del team di sviluppo: invece di aggiungere questa funzione, hanno semplicemente rifiutato ogni argomento, o rispedendo la responsabilità a sistemi mal protetti o fingendo che la crittografia delle password non cambierebbe nulla, che era responsabilità del sistema proteggere i dati.

Quindi per ora, se vuoi ancora usare Filezilla (che è un buon client ftp) dovresti davvero considerare di disabilitare tutte le opzioni di memorizzazione delle password e utilizzare uno strumento di terze parti come Keepass. È un po 'doloroso in * ma è più sicuro. Potresti persino trovare vantaggi bonus con Keepass perché avrai uno strumento per centralizzare le credenziali tra protocolli in modo più sicuro

2
Yannick Bétemps

FileZilla viene fornito con malware ora e gli sviluppatori sono consapevoli e probabilmente ne ricavano denaro.

Cerca FileZilla Premieropinion su Google o leggi le discussioni MOLTE sul forum di Filezilla:

https://forum.filezilla-project.org/viewtopic.php?t=31967&start=
https://forum.filezilla-project.org/viewtopic.php?t=3024

Lo sviluppatore continua a dire che hai la possibilità di annullare la sottoscrizione, ma il programma di installazione è CHIARAMENTE progettato per fuorviare le persone. Lavoro nel settore tecnologico (quindi sono generalmente consapevole delle preoccupazioni di sicurezza) e mi sono fatto prendere in giro, come innumerevoli altri. È stata anche la mia prima esperienza di malware con i Mac.

Non userò mai più FileZilla. Anche se è possibile "annullare l'iscrizione", questo è chiaramente progettato per ingannare gli utenti e, soprattutto, lo sviluppatore è semplicemente copiare e incollare una risposta disonesta sui forum di FileZilla. Quindi, anche se il software potrebbe ancora funzionare, non accetterò mai l'atteggiamento dello sviluppatore. Il problema non sta cercando di monetizzare il tuo lavoro. Il problema sta cercando di ingannare i tuoi utenti.

1
Jonh

Per quanto riguarda il problema menzionato da Adi in merito alla memorizzazione delle password in testo normale, è bene sapere che dalla versione 3.26.0-rc1 (25/05/2017), FileZilla supporta le password crittografate protette da una password principale. Pertanto, non vi è alcun motivo per dire che FileZilla è meno sicuro di altri client FTP.

Vedi voce del diario di sviluppo .

Per modificare questa impostazione: Modifica> Impostazioni> Password> ...

enter image description here

1
DecimalTurn

Potrebbe essere perché hanno recentemente fatto accordi per iniziare a raggruppare malware con i loro download e uno dei loro sviluppatori ha dato alle persone un atteggiamento davvero cattivo, affermando che le cose non sono malware e non è sua la decisione di fare battute come se potessi scegliere di non installarlo una volta devi prima installare il programma di installazione carico di malware.

https://forum.filezilla-project.org/viewtopic.php?t=3024

Potrebbero essere le password archiviate in testo semplice, ma dubito davvero che sia un problema per la sicurezza come il raggruppamento di malware nell'installer, l'aggiunta di opzioni che danneggiano male tutte le tue password nella barra di connessione rapida e solo l'atteggiamento recentemente povero verso persone che cercano di lamentarsi di questi cambiamenti recenti. L'atteggiamento sembra essere che puoi sempre disattivare le opzioni di installazione del malware se sai cosa stai facendo, una volta scaricato il programma di installazione carico di malware.

1
informit

Sto usando la versione portatile 3.16.1 e le password sono crittografate. Una volta che il file di dati si trova in una directory diversa dal solito (es: disco portatile) e tutte le password sono crittografate, è sufficientemente sicuro per me.

0
SandroMarques