Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.

Filezilla soll ein Masterpasswort einführen

Ajax, Hijax, Microformats, RDF, Markup, HTML, PHP, CSS, MySQL, htaccess, robots.txt, CGI, Java, Javascript usw.
Neues Thema Antworten
mgutt
PostRank 10
PostRank 10
Beiträge: 3206
Registriert: 08.03.2005, 13:13

Beitrag von mgutt » 28.03.2012, 14:50

Filezilla wird mittlerweile von allen unseren Kunden genutzt. Immer wieder hören wir von Fällen, in denen sich ein Kunde einen Trojaner über eine Website / etc. geholt hat und kurze Zeit später wurde dann auch seine eigene Website kompromittiert. Der Trojaner hat also die Passwörter aus Filezilla ausgelesen und sich dann über die jeweiligen Websites weiter verbreitet.

Diesen Zustand bemängeln viele schon seit Jahren:
https://www.fixmbr.de/filezilla-die-arroganz-der-macht/
Bild

Im Filezilla-Forum wurde der Thread einfach geschlossen:
https://forum.filezilla-project.org/vie ... f=2&t=4245

Aber es gibt einen Bug Request, der sich wacker schon seit 4 Jahren hält:
https://trac.filezilla-project.org/ticket/2935

Die Argumente der Entwickler sind immer die gleichen:
Dateiinhalte abzusichern sei Aufgabe des Betriebssystems und wenn es ein Master Passwort gäbe, dann würde der Trojaner eben solange warten bis sich der Nutzer mit dem Master Passwort einloggt.

Ich sage dagegen:
Mit einem Master Passwort gewinnt man Zeit. Schließlich ist der Angriff bis zu diesem Zeitpunkt gestoppt. Der Angreifer verliert evtl. den Zugriff auf den Trojaner. Oder das Opfer findet den Trojaner.

Ich schätze mal, dass sich unsere Kunden pro Jahr vielleicht 5x in Filezilla einloggen (wenn überhaupt). Aber die Klartextpasswörter sind jederzeit auslesbar. Ein Zustand, den man nicht dulden sollte, auch wg. der Verantwortung heraus eine weitere Verbreitung von Trojanern zu verhindern.

Außerdem gibt es noch genug andere Fälle, in denen das Passwort ausgelesen werden könnte. Die Hürde das zu tun ist ja gleich Null. Es dauert nur wenige Sekunden die entsprechende Datei auf einem fremden System zu finden. Und noch ein paar um das Passwort abzuschreiben.

Ich bitte daher alle, die das Problem verstehen und der englischen Sprache mächtig sind sich zu beteiligen und weiterhin dazu aufzurufen dieses Features zu realisieren:
https://trac.filezilla-project.org/ticket/2935

Gruß
Ich kaufe Dein Forum!
Kontaktdaten

Anzeige von ABAKUS

von Anzeige von ABAKUS »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:
  • einzigartige Texte
  • suchmaschinenoptimierte Inhalte
  • eine sinnvolle Content-Strategie
  • Beratung und Umsetzung
Jetzt anfragen: 0511 / 300325-0

Malte Landwehr
PostRank 10
PostRank 10
Beiträge: 3474
Registriert: 22.05.2005, 10:45

Beitrag von Malte Landwehr » 30.03.2012, 13:51

Das Thema hatten wir hier schon, siehe z.B. https://www.abakus-internet-marketing.d ... 93299.html.
Die 45 wichtigsten SEO-Tools und wie ich sie nutze.

mgutt
PostRank 10
PostRank 10
Beiträge: 3206
Registriert: 08.03.2005, 13:13

Beitrag von mgutt » 30.03.2012, 15:57

Danke. Den Thread kannte ich noch nicht. Ändert aber nichts an meinem Aufruf. Die Standardeinstellung ist ja leider Klartext und das geht einfach gar nicht. Filezilla trägt an der Verbreitung der Trojaner Mitschuld und die müssen sich einfach dieser Verantwortung bewusst werden.
Ich kaufe Dein Forum!
Kontaktdaten

Anzeige von ABAKUS

von Anzeige von ABAKUS »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.


Fulano
PostRank 1
PostRank 1
Beiträge: 10
Registriert: 20.04.2012, 22:40

Beitrag von Fulano » 02.05.2012, 21:40

Such dir eine vernünftige Alternative und steig einfach um.

devolo01
PostRank 8
PostRank 8
Beiträge: 843
Registriert: 13.12.2008, 17:57

Beitrag von devolo01 » 03.05.2012, 05:41

Fulano hat geschrieben:Such dir eine vernünftige Alternative und steig einfach um.
Bevor man dummes Zeug Postet sollte man einmal lesen.

Nicht er verwendet Filezilla sonder seine Kunden. Auch wir können dieses Problem nachvollziehen und sind gleicher Ansicht!

Fulano
PostRank 1
PostRank 1
Beiträge: 10
Registriert: 20.04.2012, 22:40

Beitrag von Fulano » 03.05.2012, 08:04

Ich dachte ich mach es mal kurz, hat nicht geklappt:
devolo01 hat geschrieben:Bevor man dummes Zeug Postet sollte man einmal lesen.
OT
mgutt hat geschrieben:Filezilla wird mittlerweile von allen unseren Kunden genutzt.
Ich muss hier ein wenig interpretieren, wenn es fast alle Kunden nutzen dann vermute ich das den Kunden Filezilla empfohlen wurde.(?)

Wenn ich richtig liege würde ich den Kunden zukünftig zu einer anderen Software raten.
Wenn der Kunde, warum auch immer, unbedingt Filezilla nutzen möchte dann bleibt nicht viel mehr als auf Sicherheitsrisiken hinzuweisen.

Ich habe übrigens selber Filezilla genutzt.
Es wird oft genug als FTP-Programm empfohlen und dadurch ging ich, blauäugig wie ich war, davon aus das es ein gutes Tool ist. Ist es eigentlich auch, ich war auch zufrieden, bis ich von dem Passwort-Problem erfuhr. Ich habe mir dann eine Alternative gesucht.

Wenn ich von einem Kunden weiß das er Filezilla einsetzt weise ich ihn auch auf die Sache mit dem Passwörtern hin.

Und @devolo01 vielen Dank für deine klaren Worte. Ich schäme mich dafür das ich es nicht geschafft habe genau so knackig und informativ zu formulieren wie du.

Meine Antwort sollte durchaus konstruktiv sein.

Dragobert
PostRank 9
PostRank 9
Beiträge: 1246
Registriert: 08.02.2006, 20:40
Wohnort: Nürnberg

Beitrag von Dragobert » 05.05.2012, 08:36

"bis ich von dem Passwort-Problem erfuhr. Ich habe mir dann eine Alternative gesucht...

Das Passwortproblem haben sie alle. Nur dass dieses beim Filezilla im Klartext vorliegt.
Trojaner und co. lesen auch von anderen bekannten FTP die Passwörter aus.
War erst kürzlich ein Bericht darüber. (frag mich bitte aber nicht wo, fällt mir im Moment nicht ein)

Ich war selbst kürzlich davon betroffen. Ein relativ bekanntes Forum war kurze Zeit verseucht
mein PC war daraufhin auch verseucht, das Ding las die Passwörter von Filezilla aus und na ja,
den Rest kannst du dir denken.

Auf 2 PCs die Betriebssysteme neu aufgesetzt, alle Webseiten vom Netz genommen,
alle Passwörter vom sauberen System aus geändert, FTP-Zugänge und auch die von den Datenbanken
Systeme (Joomla, Wordpress und, alle HTML Dateien) frisch aufgesetzt

Danach, als alles vorbei war, stand ich davor zu entscheiden: Wieder Filezilla oder nicht.
Dann las ich eben Berichte dass die Anderen genauso schwach sind, auch wenn das Passwort
nicht im Klartext vorliegt. Trojaner kennen die bekannten FTP-Clients und haben sich eben auf diese spezialisiert.

Das eigentliche Problem sind also nicht die Passwörter die im Klartext vorliegen
(wie bereits erwähnt, diejenigen die nicht im Klartext vorliegen bieten auch keinen Schutz)
sondern die Handhabung der Passwörter.

Ich habe einige dieser Programme installiert, kam aber dann trotzdem zu Filezilla zurück,
lasse aber eben nicht zu dass Passwörter gespeichert werden, sondern dass diese jedesmal eingetippt werden müssen.
Ich habe Filezilla auch so eingestellt dass es die letzte Sitzung auch nicht speichert.

Zusätzlich habe ich mir eben mein Linux (als Zweitsystem) so eingerichtet dass es mir mindestens
genauso viel Spaß mach daran zu arbeiten wie mit Win7, und alles was mit Internet zu tun hat
erledige ich jetzt ausschließlich unter Linux. Zwar auch kein 100%-er Schutz, aber eben besser als Windows.

Bei mir waren es also zwei Maßnahmen:
- Filezilla keine Passwörter speichern lassen (gar keine) UND
- anderes Betriebssystem

Fulano
PostRank 1
PostRank 1
Beiträge: 10
Registriert: 20.04.2012, 22:40

Beitrag von Fulano » 05.05.2012, 12:14

Dragobert hat geschrieben: - Filezilla keine Passwörter speichern lassen (gar keine) UND
- anderes Betriebssystem
Das ist für die meisten User auf jeden Fall zuviel.

mgutt
PostRank 10
PostRank 10
Beiträge: 3206
Registriert: 08.03.2005, 13:13

Beitrag von mgutt » 07.05.2012, 19:15

Auch ein Problem ist, dass die einzig sinnvolle Alternative WinSCP keine gute Usability besitzt und dazu das Masterpasswort optional einstellbar ist. Sowas ist einfach nichts für Daus.
Ich kaufe Dein Forum!
Kontaktdaten

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag