2010-01-31
■[Security] FileZilla は FTP 情報を平文で XML ファイルに保存している 
FFFTP がやられてるらしい情報があちこちに出たからか、Sota’s Web Page (GumblarによるFFFTPへの攻撃について) が掲載されました。で、コレを受けてか「FileZilla なら FTP/SFTP/FTPS に対応してるぞ。おススメ!」という情報が出回り始めてます。
が、FileZilla を使う場合は気をつけないといけないことがあります。それはFileZilla は FTP 情報を平文で XML ファイルに保存していることです。最新版なのかな、ver. 3.3.1 でも未だそうなってます。
で、XML ファイルの中身がコレ。
この情報自体、ググってどなたかのブログで見つけたものですし、私も一時期「FileZilla って良さそうだなぁ」と思っていたクチなので偉そうなことを言えませんが、「FFFTP はダメだから FileZilla にしよう」という安易な発想ではかえって深刻な事態を招きかねません。
ちなみにこの件については FileZilla の Trac に 2年くらい前にバグとして投稿されましたが「こういう設計だ」という回答がなされています。
This is by design, it is the task of the operating system to protect the user's files. Just encrypt your home directory.
#1373 ([Security] Passwords saved as plain text) ? FileZilla
まぁ、当たり前の回答ですが、せめて FFFTP のように何らかのエンコードくらいして欲しいものですよね。
273 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:01:50
>>270
もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる
暗号化っていうよりエンコードに近い
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
*1:注:復号ですがな
- 466 http://pipes.yahoo.com/pipes/pipe.info?_id=a36c5f86b927748b5a81e77897d69e58
- 284 http://bowz.info/1905
- 201 http://www.dammers.org/~y-gawa/antenna/
- 131 http://reader.livedoor.com/reader/
- 126 http://pipes.yahoo.com/pipes/pipe.info?_id=faa858a20082ef6d25ad27557e37e011
- 93 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4RNTN_jaJP359&q=LPC4-CLX
- 75 http://bowz.info/?p=1905
- 75 http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla:ja:official&hs=Y1m&q=FileZilla+パスワード 保存&btnG=検索&lr=&aq=f&oq=
- 63 http://d.hatena.ne.jp/
- 57 http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=メール+送信日付&num=50