Filezilla soll ein Masterpasswort einführen
Verfasst: 28.03.2012, 14:50
Filezilla wird mittlerweile von allen unseren Kunden genutzt. Immer wieder hören wir von Fällen, in denen sich ein Kunde einen Trojaner über eine Website / etc. geholt hat und kurze Zeit später wurde dann auch seine eigene Website kompromittiert. Der Trojaner hat also die Passwörter aus Filezilla ausgelesen und sich dann über die jeweiligen Websites weiter verbreitet.
Diesen Zustand bemängeln viele schon seit Jahren:
https://www.fixmbr.de/filezilla-die-arroganz-der-macht/
Im Filezilla-Forum wurde der Thread einfach geschlossen:
https://forum.filezilla-project.org/vie ... f=2&t=4245
Aber es gibt einen Bug Request, der sich wacker schon seit 4 Jahren hält:
https://trac.filezilla-project.org/ticket/2935
Die Argumente der Entwickler sind immer die gleichen:
Dateiinhalte abzusichern sei Aufgabe des Betriebssystems und wenn es ein Master Passwort gäbe, dann würde der Trojaner eben solange warten bis sich der Nutzer mit dem Master Passwort einloggt.
Ich sage dagegen:
Mit einem Master Passwort gewinnt man Zeit. Schließlich ist der Angriff bis zu diesem Zeitpunkt gestoppt. Der Angreifer verliert evtl. den Zugriff auf den Trojaner. Oder das Opfer findet den Trojaner.
Ich schätze mal, dass sich unsere Kunden pro Jahr vielleicht 5x in Filezilla einloggen (wenn überhaupt). Aber die Klartextpasswörter sind jederzeit auslesbar. Ein Zustand, den man nicht dulden sollte, auch wg. der Verantwortung heraus eine weitere Verbreitung von Trojanern zu verhindern.
Außerdem gibt es noch genug andere Fälle, in denen das Passwort ausgelesen werden könnte. Die Hürde das zu tun ist ja gleich Null. Es dauert nur wenige Sekunden die entsprechende Datei auf einem fremden System zu finden. Und noch ein paar um das Passwort abzuschreiben.
Ich bitte daher alle, die das Problem verstehen und der englischen Sprache mächtig sind sich zu beteiligen und weiterhin dazu aufzurufen dieses Features zu realisieren:
https://trac.filezilla-project.org/ticket/2935
Gruß
Diesen Zustand bemängeln viele schon seit Jahren:
https://www.fixmbr.de/filezilla-die-arroganz-der-macht/
Im Filezilla-Forum wurde der Thread einfach geschlossen:
https://forum.filezilla-project.org/vie ... f=2&t=4245
Aber es gibt einen Bug Request, der sich wacker schon seit 4 Jahren hält:
https://trac.filezilla-project.org/ticket/2935
Die Argumente der Entwickler sind immer die gleichen:
Dateiinhalte abzusichern sei Aufgabe des Betriebssystems und wenn es ein Master Passwort gäbe, dann würde der Trojaner eben solange warten bis sich der Nutzer mit dem Master Passwort einloggt.
Ich sage dagegen:
Mit einem Master Passwort gewinnt man Zeit. Schließlich ist der Angriff bis zu diesem Zeitpunkt gestoppt. Der Angreifer verliert evtl. den Zugriff auf den Trojaner. Oder das Opfer findet den Trojaner.
Ich schätze mal, dass sich unsere Kunden pro Jahr vielleicht 5x in Filezilla einloggen (wenn überhaupt). Aber die Klartextpasswörter sind jederzeit auslesbar. Ein Zustand, den man nicht dulden sollte, auch wg. der Verantwortung heraus eine weitere Verbreitung von Trojanern zu verhindern.
Außerdem gibt es noch genug andere Fälle, in denen das Passwort ausgelesen werden könnte. Die Hürde das zu tun ist ja gleich Null. Es dauert nur wenige Sekunden die entsprechende Datei auf einem fremden System zu finden. Und noch ein paar um das Passwort abzuschreiben.
Ich bitte daher alle, die das Problem verstehen und der englischen Sprache mächtig sind sich zu beteiligen und weiterhin dazu aufzurufen dieses Features zu realisieren:
https://trac.filezilla-project.org/ticket/2935
Gruß