Filezilla - это бесплатный популярный FTP-клиент, который обеспечивает пользователю доступ к данным с локального компьютера на удаленный сервер при помощи FTP, SFTP и FTPS. Программа является кроссплатформенной и работает как на системах Windows, так и на Mac OS X и Linux.
Помимо всех достоинств, у Filezilla присутствует большая проблема безопасности, с которой сталкивается каждый пользователь. Пароли для соединения с сервером хранятся в XML файлах в незашифрованном виде.
По словам разработчика, это преднамеренный эффект, так как, за безопасность личных данных ответственна операционная система, которая установлена на пользовательском компьютере.
С точки зрения аспектов безопасности это абсолютно неприемлемо, так как различному вредоносному программному обеспечению (Gumblar или Troj/JSRedir-R) не составит никакого труда пробраться к этим данным и с помощью добытой информации взломать веб-сайты.
Данные в открытом виде сохраняются в XML файлах
Информация храниться в двух определенных файлах – sitemanager.xml и recentservers.xml, которые находятся в следующих каталогах:
Незакодированный пароль в sitemanager.xml
Файл recentservers.xml создается тогда, когда пользователь использует функцию быстрого соединения в тулбаре Filezilla. Программа направляет введенные данные в незакодированном виде в XML-данные.
Незакодированный пароль в recentservers.xml
Проверяйте ваши настройки в Filezilla
Для уменьшения риска угрозы кражи паролей, вы принципиально не должны сохранять никакие FTP-соединения в менеджере сайтов и четко прописать в настройках Filezilla не сохранять ваши пароли автоматически.
Это можно сделать в пункте меню Редактирование –> Настройки –> Интерфейс.
Опция "Не сохранять пароли"
Если вы уже используете Filezilla, в пункте Редактирование –> Удалить личные данные, можно удалить записи для быстрого соединения и менеджера сайтов. Таким образом оба вышеуказанных XML-файла очищаются, а все записи стираются.
Установка функции Auto-type в KeePass для Filezilla
Мы советуем использовать специальные программы для хранения паролей, например KeePass в сочетании со сложным мастер-паролем.
С помощью функции Auto-type можно быстро и легко применять быстрое соединение в тулбаре для соединения к FTP-серверам. Нужно просто создать новую запись в базе данных KeePass и ввести следующие данные:
Конфигурация KeePass для глобальной функции Auto-type
Теперь при запуске Filezilla и одновременном использовании глобальной функции Auto-type от KeePass (по умолчанию Ctrl-Alt-A) программа автоматически заполняет все три необходимых поля в тулбаре быстрого соединения и начинает процесс соединения с сервером.
И НЕ ЗАБЫВАЙТЕ ДЕЛАТЬ ПАРОЛИ БОЛЕЕ 8-МИ СИМВОЛОВ, ЭТО ЗАЩИТИТ ОТ БРУТТА !
Помимо всех достоинств, у Filezilla присутствует большая проблема безопасности, с которой сталкивается каждый пользователь. Пароли для соединения с сервером хранятся в XML файлах в незашифрованном виде.
По словам разработчика, это преднамеренный эффект, так как, за безопасность личных данных ответственна операционная система, которая установлена на пользовательском компьютере.
С точки зрения аспектов безопасности это абсолютно неприемлемо, так как различному вредоносному программному обеспечению (Gumblar или Troj/JSRedir-R) не составит никакого труда пробраться к этим данным и с помощью добытой информации взломать веб-сайты.
Данные в открытом виде сохраняются в XML файлах
Информация храниться в двух определенных файлах – sitemanager.xml и recentservers.xml, которые находятся в следующих каталогах:
- "C:\Documents and Settings\<username>\Application Data\Filezilla" (Windows XP)
- "C:\Users\<username>\AppData\Roaming\FileZilla" (Windows Vista/7)
- "~/.filezilla" (Linux / Mac OS X)
Незакодированный пароль в sitemanager.xml
Файл recentservers.xml создается тогда, когда пользователь использует функцию быстрого соединения в тулбаре Filezilla. Программа направляет введенные данные в незакодированном виде в XML-данные.
Незакодированный пароль в recentservers.xml
Проверяйте ваши настройки в Filezilla
Для уменьшения риска угрозы кражи паролей, вы принципиально не должны сохранять никакие FTP-соединения в менеджере сайтов и четко прописать в настройках Filezilla не сохранять ваши пароли автоматически.
Это можно сделать в пункте меню Редактирование –> Настройки –> Интерфейс.
Опция "Не сохранять пароли"
Если вы уже используете Filezilla, в пункте Редактирование –> Удалить личные данные, можно удалить записи для быстрого соединения и менеджера сайтов. Таким образом оба вышеуказанных XML-файла очищаются, а все записи стираются.
Установка функции Auto-type в KeePass для Filezilla
Мы советуем использовать специальные программы для хранения паролей, например KeePass в сочетании со сложным мастер-паролем.
С помощью функции Auto-type можно быстро и легко применять быстрое соединение в тулбаре для соединения к FTP-серверам. Нужно просто создать новую запись в базе данных KeePass и ввести следующие данные:
- В поле username определяется логин пользователя
- В поле password – пароль доступа пользователя
- В поле URL сохраняется адрес сервера
- Auto-Type: {URL}{TAB}{USERNAME}{TAB}{PASSWORD}{ENTER}
- Auto-Type-Window: FileZilla
Конфигурация KeePass для глобальной функции Auto-type
Теперь при запуске Filezilla и одновременном использовании глобальной функции Auto-type от KeePass (по умолчанию Ctrl-Alt-A) программа автоматически заполняет все три необходимых поля в тулбаре быстрого соединения и начинает процесс соединения с сервером.
И НЕ ЗАБЫВАЙТЕ ДЕЛАТЬ ПАРОЛИ БОЛЕЕ 8-МИ СИМВОЛОВ, ЭТО ЗАЩИТИТ ОТ БРУТТА !