FileZilla Secure przynosi szyfrowanie haseł. Deweloperzy od lat odmawiali wprowadzenia tej funkcji
O tę funkcję w Filezilli użytkownicy dopominali się już odwielu lat – jednak deweloperzy mieli ich opinie za nic. Znany ilubiany klient FTP ma bowiem poważny feler, jeśli chodzi obezpieczeństwo. Przechowuje hasła do zdalnych zasobów wniezaszyfrowanym pliku. Skuteczny atak oznacza więc, że napastnikmoże zdobyć też bezpośredni dostęp np. do stron internetowychofiary. I tak się właśnie stało w wypadku jednego z użytkowników.Rozeźlony wziął sprawę w swoje ręce, tworząc forka Filezilli,który wreszcie pozwala na zaszyfrowanie przechowywanych haseł zapomocą klucza głównego.
Trzy lata temu Kaspersky Lab donosiło szkodniku Trojan-Banker.Win32/64.Neverquest, który nie tylkosłużył do przekierowywania przelewów przechodzących przez wieledużych banków i systemów płatności, ale też wykorzystywałmechanizm samoreplikowania się z wbudowaną żniwiarką haseł.Uzyskiwał dostęp do serwerów właśnie poprzez hasła wykradzionez przeróżnych klientów FTP, w tym właśnie FileZilli.
Nic więc dziwnego, że przechowywanie niezaszyfrowanych haseł nakomputerze musiało zostać uznane za poważne zagrożenie dlabezpieczeństwa. Użytkownicy FileZilli ponownie przypomnieli sobie oproblemie, wracając do zgłoszenia,które trafiło do systemu zarządzania trac ponad 9 lat temu.Wnioskowano tam o wprowadzenie do tego popularnego klienta choćbytakiego prostego zabezpieczenia przechowywanych haseł, jakiestosowane jest w Firefoksie, tak by po włączeniu opcji „MasterPassword” program szyfrował swój plik z hasłami sitemanager.xmlza pomocą np. AES256.
Deweloperzy FileZilli nie tylko nie przejęli się tą propozycją,ale otwarcie zlekceważyli postulat, twierdząc, że jeśli ktośchce bezpieczeństwa haseł, powinien sobie zaszyfrować dysk itwierdząc, że zaszyfrowany kluczem głównym plik z hasłami i takbędzie mógł być odszyfrowany przez malware, które po prostuprzechwyci hasło podczas wpisywania.
Cóż, w pewnym stopniu deweloperzy mieli rację, ale z drugiejstrony – ile by im zajęło wprowadzenie choć tak elementarnegozabezpieczenia dla haseł? Złośliwcy mogą powiedzieć, że poprostu chciano utrzymać starożytną tradycję FTP jawnegoprzesyłania wszelkich danych, ale jeśli wczytamy się w dyskusjępod wspomnianym zgłoszeniem, widać po prostu arogancję,przekonanie że deweloperzy wszystko lepiej wiedzą od użytkowników.
Na szczęście może już nie trzeba będzie z nimi się użerać.Użytkownik reddita dns4lyfe przedstawił zmodyfikowaną wersjęFilezilli, powstałą na bazie aktualnego kodu źródłowego wersji3.18, która szyfruje zapisane hasła za pomocą AES-CBC. Każdy zszyfrowanych plików z wrażliwymi danymi szyfrowany jest oddzielnymkluczem, generowanym na bazie głównego hasła, niestety niezastosowano tu póki co kryptograficznej soli. Wciąż jednak jest tolepsze od tego, co oferuje domyślny klient FileZilli.
W FileZilla Secure wprowadzono jeszcze jedną drobną zmianę:liczba jednoczesnych wątków przesyłania została powiększona ażdo tysiąca. Wielokrotnie przyspieszy to transfery FTP u posiadaczyszybkich łączy do szybkich serwerów.
Ten nowy fork FileZilli możecie pobrać z naszej bazyoprogramowania w wersji dla Windowsa, zarówno jako instalator, jak iw formie portable (dostępny w zakładce Wszystkie wersje). Trwają prace nad wersjami na macOS-a i Linuksa.
