r   e   k   l   a   m   a
r   e   k   l   a   m   a

FileZilla Secure przynosi szyfrowanie haseł. Deweloperzy od lat odmawiali wprowadzenia tej funkcji

Strona główna AktualnościOPROGRAMOWANIE

O tę funkcję w Filezilli użytkownicy dopominali się już od wielu lat – jednak deweloperzy mieli ich opinie za nic. Znany i lubiany klient FTP ma bowiem poważny feler, jeśli chodzi o bezpieczeństwo. Przechowuje hasła do zdalnych zasobów w niezaszyfrowanym pliku. Skuteczny atak oznacza więc, że napastnik może zdobyć też bezpośredni dostęp np. do stron internetowych ofiary. I tak się właśnie stało w wypadku jednego z użytkowników. Rozeźlony wziął sprawę w swoje ręce, tworząc forka Filezilli, który wreszcie pozwala na zaszyfrowanie przechowywanych haseł za pomocą klucza głównego.

Trzy lata temu Kaspersky Lab donosił o szkodniku Trojan-Banker.Win32/64.Neverquest, który nie tylko służył do przekierowywania przelewów przechodzących przez wiele dużych banków i systemów płatności, ale też wykorzystywał mechanizm samoreplikowania się z wbudowaną żniwiarką haseł. Uzyskiwał dostęp do serwerów właśnie poprzez hasła wykradzione z przeróżnych klientów FTP, w tym właśnie FileZilli.

Nic więc dziwnego, że przechowywanie niezaszyfrowanych haseł na komputerze musiało zostać uznane za poważne zagrożenie dla bezpieczeństwa. Użytkownicy FileZilli ponownie przypomnieli sobie o problemie, wracając do zgłoszenia, które trafiło do systemu zarządzania trac ponad 9 lat temu. Wnioskowano tam o wprowadzenie do tego popularnego klienta choćby takiego prostego zabezpieczenia przechowywanych haseł, jakie stosowane jest w Firefoksie, tak by po włączeniu opcji „Master Password” program szyfrował swój plik z hasłami sitemanager.xml za pomocą np. AES256.

r   e   k   l   a   m   a

Deweloperzy FileZilli nie tylko nie przejęli się tą propozycją, ale otwarcie zlekceważyli postulat, twierdząc, że jeśli ktoś chce bezpieczeństwa haseł, powinien sobie zaszyfrować dysk i twierdząc, że zaszyfrowany kluczem głównym plik z hasłami i tak będzie mógł być odszyfrowany przez malware, które po prostu przechwyci hasło podczas wpisywania.

Cóż, w pewnym stopniu deweloperzy mieli rację, ale z drugiej strony – ile by im zajęło wprowadzenie choć tak elementarnego zabezpieczenia dla haseł? Złośliwcy mogą powiedzieć, że po prostu chciano utrzymać starożytną tradycję FTP jawnego przesyłania wszelkich danych, ale jeśli wczytamy się w dyskusję pod wspomnianym zgłoszeniem, widać po prostu arogancję, przekonanie że deweloperzy wszystko lepiej wiedzą od użytkowników.

Na szczęście może już nie trzeba będzie z nimi się użerać. Użytkownik reddita dns4lyfe przedstawił zmodyfikowaną wersję Filezilli, powstałą na bazie aktualnego kodu źródłowego wersji 3.18, która szyfruje zapisane hasła za pomocą AES-CBC. Każdy z szyfrowanych plików z wrażliwymi danymi szyfrowany jest oddzielnym kluczem, generowanym na bazie głównego hasła, niestety nie zastosowano tu póki co kryptograficznej soli. Wciąż jednak jest to lepsze od tego, co oferuje domyślny klient FileZilli.

W FileZilla Secure wprowadzono jeszcze jedną drobną zmianę: liczba jednoczesnych wątków przesyłania została powiększona aż do tysiąca. Wielokrotnie przyspieszy to transfery FTP u posiadaczy szybkich łączy do szybkich serwerów.

Ten nowy fork FileZilli możecie pobrać z naszej bazy oprogramowania w wersji dla Windowsa, zarówno jako instalator, jak i w formie portable (dostępny w zakładce Wszystkie wersje). Trwają prace nad wersjami na macOS-a i Linuksa.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.