News FileZilla: FTP-Client erhält Schutz durch Master-Passwort
- Ersteller mischaef
- Erstellt am
- Zur News: FileZilla: FTP-Client erhält Schutz durch Master-Passwort
Komische Argumentation von dem Entwickler. Wenn ich erstmal Malware auf dem PC habe die Passwörter abgreifen soll, werden sowieso die gängigen Quellen unverschlüsselter Passwörter abgegrast und dann sind innerhalb von Sekunden alle Passwörter weg, auch ohne die Notwendigkeit einen Keylogger laufen zu lassen. Bzw sind die Kennwörter dann immer wertlos, nicht nur wenn Keylogger eingesetzt werden. Wenn er so auf Sicherheit bedacht ist wie er sagt, hätte er die Funktion Passwörter zu speichern dann mit einer fetten Warnung versehen oder ganz abschalten müssen. So sieht das eher nach böser Absicht aus, aus welchen Grüden auch immer.
Das war ja kein Bug, sondern eine besusste Designentscheidung des Entwicklers.
Turrican101 schrieb:
Das war ja kein Bug, sondern eine besusste Designentscheidung des Entwicklers.
Zuletzt bearbeitet:
Turrican101
Vice Admiral
- Registriert
- Aug. 2007
- Beiträge
- 6.342
Hab ja auch nix anderes behauptet. Wenn Fehler oder Schwachstellen gefunden, aber nicht behoben werden, dann bringts halt nichts, wenn sie gemeldet werden. Warum sie nicht behoben werden ist für den Anweder ja egal.
Zuletzt bearbeitet:
MaverickM
20k Fleet Admiral
- Registriert
- Juni 2001
- Beiträge
- 25.277
heubergen schrieb:
Hast Du auch gelesen, was er geschrieben hat!? Dass Passwörter, die man erst gar nicht abspeichert, sicherer, als eine (verschlüsselte) Datei mit allen Passwörtern drin, ist, sollte doch jedem klar sein. Das Zitat ist absolut Sinnentleert.
Ich persönlich nutze seit Jahren FlashFXP und kein Master-Passwort. Wenn Angreifer bereits auf meinem System sind, habe ich ganz andere Probleme als geklaute FTP Passwörter.
Ich denke mal das Problem wird eher sein, dass FileZilla seit jeher die Passwörter der Zugänge unverschlüsselt und im Klartext abgespeichert hat. Wenn jemand Zugang zum eigenen Rechner hat (physikalisch reicht hier schon aus), kann er alle Passwörter einsehen und notieren/kopieren. Natürlich ist ein kopieren der Zugänge auch bei anderen Programmen möglich, welche die PW verschlüsselt ablegen - wenn der Angreifer weiß, wo diese gespeichert werden. Nur es gibt einen großen Unterschied: Hier könnten die Zugänge nur zusammen mit dem Programm verwendet werden (oder er müsste die Verschlüsselung knacken - was bei gesalzener Verschlüsselung nicht unerheblich ist). Bei FileZilla könnten die PW aber vom Programm unabhängig verwendet werden.
Und für einen großen Kundenstamm jedes Mal die PW von Hand eingeben ist sehr umständlich, besonders wenn an die Speicherorte immer wieder zugegriffen werden muss.
Und für einen großen Kundenstamm jedes Mal die PW von Hand eingeben ist sehr umständlich, besonders wenn an die Speicherorte immer wieder zugegriffen werden muss.
BloqueNegro
Ensign
- Registriert
- März 2011
- Beiträge
- 185
Wer 2017 noch Protokolle wie FTP anstatt SFTP nutzt - und das mit Passwoertern statt mit Private Keys - der hat jeglliche Kontrolle ueber sein Leben verloren 
fuyuhasugu
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.520
Die Begründung ist grober Unfug. Ein PC mit einem Keylogger ist intrinsisch unsicher, das liegt in der Natur des Keyloggers. Mit gleicher Begründung könnte man Passwörter und alle anderen Sicherheitsmaßnahmen komplett abschaffen, denn die Unsicherheit eines kompromittierten PCs beträfe nicht nur das FTP-Programm sondern alle Programme inklusive Betriebssystem.heubergen schrieb:
patrick888
Cadet 4th Year
- Registriert
- Dez. 2003
- Beiträge
- 94
Wer was zum Thema Sturkopf von Entwickler lesen will der soll sich auch mal das Thema SSL / TLS in Filezilla geben. Grundsätzlich wird jedes Zertifikat, auch die von einer CA beglaubigten, als nicht vertrauenswürdig eingestuft. Argument seiner Zeit dazu: wer sagt denn auch dass die CAs glaubwürdig sind. 
Ja, das sagt mir keiner, Microsoft, Google, Mozilla und co. sind aber offenbar der Meinung dass Sie vertrauenswürdig genug sind. So wird nur Unsicherheit am Ende der Verwertungskette geschürt: dem 0815 Anwender. Völlig falsche Gangart und ich hoffe wirklich dass es einmal ein Tool gibt dass FZ in der Verbreitung und Handhabe ablösen wird.
Ja, das sagt mir keiner, Microsoft, Google, Mozilla und co. sind aber offenbar der Meinung dass Sie vertrauenswürdig genug sind. So wird nur Unsicherheit am Ende der Verwertungskette geschürt: dem 0815 Anwender. Völlig falsche Gangart und ich hoffe wirklich dass es einmal ein Tool gibt dass FZ in der Verbreitung und Handhabe ablösen wird.
mischaef schrieb:
Das hatte er jetzt ja auch und ich wünsche mir nur dass ihr diese in einem Satz oder einem Absatz darlegt, von mir aus mit eine Bewertung aus eurer Sicht.
@fuyuhasugu: Ich habe kein Bewertung seines Kommentars vorgenommen sondern nur geschrieben was er gesagt hatte.
fuyuhasugu
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.520
Und ich habe mich darum auch nur auf diese sogenannte "BegrÜndung" bezogen. Dass du das eventuell nicht verstehst, mag ja verständlich sein, die für den Entwickler beste Begündung, warum er als Programmierer des FTP-Programmes so argumentiert, ist die oben schon genannte, dass dies einfach an dessen Sturköpfigkeit liegt.heubergen schrieb:
Dem kann man sich vorbehaltlos anschließen.heubergen schrieb:Thx
MaverickM
20k Fleet Admiral
- Registriert
- Juni 2001
- Beiträge
- 25.277
patrick888 schrieb:
Ich konnte die Beliebtheit von FileZilla ohnehin nie nachvollziehen.
Kann jedem nur FlashFXP empfehlen. Klar kostet das ein paar Dollar, aber ich könnte dir nicht mal mehr sagen wieviel, denn ich hab meine lifetime Lizenz vor 10 Jahren gekauft und kriege immer noch regelmäßig Updates.
A
Anmeldeblödsinn
Gast
MaverickM schrieb:
Und da hast du auch schon den Grund selbst geliefert
Ergänzung ()
Simanova schrieb:
Bearbeiten > Einstellungen > Oberfläche
Wenn du da das MAsterPW setzt, wird der base64-String (wtf?) in der sitemanager.xml gegen einen "pubkey" ersetzt.
Ergänzung ()
BloqueNegro schrieb:Wer 2017 noch Protokolle wie FTP anstatt SFTP nutzt - und das mit Passwoertern statt mit Private Keys - der hat jeglliche Kontrolle ueber sein Leben verloren
Darum geht es aber nicht, es werden lokal die Kennwörter als base64 gespeichert, egal welche Verbindungsart man benutzt.
Ergänzung ()
patrick888 schrieb:Wer was zum Thema Sturkopf von Entwickler lesen will der soll sich auch mal das Thema SSL / TLS in Filezilla geben. Grundsätzlich wird jedes Zertifikat, auch die von einer CA beglaubigten, als nicht vertrauenswürdig eingestuft. Argument seiner Zeit dazu: wer sagt denn auch dass die CAs glaubwürdig sind.
Ja, das sagt mir keiner, Microsoft, Google, Mozilla und co. sind aber offenbar der Meinung dass Sie vertrauenswürdig genug sind. So wird nur Unsicherheit am Ende der Verwertungskette geschürt: dem 0815 Anwender. Völlig falsche Gangart und ich hoffe wirklich dass es einmal ein Tool gibt dass FZ in der Verbreitung und Handhabe ablösen wird.
Find ich eigentlich gut. Es hat schon viel CA-fuckery gegeben um dem ganzen System nicht mehr blind zu vertrauen. Mir beim ersten Connect das Zertifikat zu zeigen und MICH zu fragen ob ICH dem zustimme, so sollte es sein. Hab den Usern meines Servers den Hash zukommen lassen, den sollen sie bitte prüfen und fertig. Keine "meh meh, ich bin selbst signiert", "meh meh, ich laufe in x tagen ab" oder sonstwege Meldungen mehr und schließlich entscheide ich doch lieber selber welche Verbindung ich für sicher halte, nichte mein Programm und eine der xx unbekannten CAs da draußen.
Turrican101
Vice Admiral
- Registriert
- Aug. 2007
- Beiträge
- 6.342
MaverickM schrieb:
Na weils OpenSource ist und somit per Definition besser ist als alles andere, egal was für Schwachstellen es hat oder wie blöd die Entwickler sind.
