エンジニアでありたい人の日記 このページをアンテナに追加 RSSフィード

2010-01-31

[] FileZillaFTP 情報を平文で XML ファイルに保存している 10:14  FileZilla は FTP 情報を平文で XML ファイルに保存しているを含むブックマーク  FileZilla は FTP 情報を平文で XML ファイルに保存しているのブックマークコメント

FFFTP がやられてるらしい情報があちこちに出たからか、Sota’s Web Page (GumblarによるFFFTPへの攻撃について) が掲載されました。で、コレを受けてか「FileZilla なら FTP/SFTP/FTPS に対応してるぞ。おススメ!」という情報が出回り始めてます。

が、FileZilla を使う場合は気をつけないといけないことがあります。それはFileZilla は FTP 情報を平文で XML ファイルに保存していることです。最新版なのかな、ver. 3.3.1 でも未だそうなってます。

サイトマネージャの画面がコレ。

f:id:hiro-ueda:20100131095700p:image

で、XML ファイルの中身がコレ。

f:id:hiro-ueda:20100131095659p:image

この情報自体、ググってどなたかのブログで見つけたものですし、私も一時期「FileZilla って良さそうだなぁ」と思っていたクチなので偉そうなことを言えませんが、「FFFTP はダメだから FileZilla にしよう」という安易な発想ではかえって深刻な事態を招きかねません。

ちなみにこの件については FileZilla の Trac に 2年くらい前にバグとして投稿されましたが「こういう設計だ」という回答がなされています。

This is by design, it is the task of the operating system to protect the user's files. Just encrypt your home directory.

#1373 ([Security] Passwords saved as plain text) ? FileZilla

まぁ、当たり前の回答ですが、せめて FFFTP のように何らかのエンコードくらいして欲しいものですよね。

273 :名無しさんお腹いっぱい。:2010/01/30(土) 19:01:50

>>270

一般的なソフトパスワード保存って、

もしくは簡単な独自アルゴリズム暗号化・複合*1してる、

もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる

暗号化っていうよりエンコードに近い

Access denied | pc11.2ch.net used CloudFlare to restrict access

*1:注:復号ですがな

AD