„FileZilla“ speichert Passworte im Klartext

Der beliebte und bekannte FTP-Client „FileZilla“ speichert Serverprofile (Zugangspassworte) im Klartext ab!

Themen dieses Berichts (was Sie erwartet):

• Allgemein --> Versionen

• Schwachstelle

• Alternativen --> SpeedCommander / WinSCP

• Abschliessende Worte

• Externe Links

Allgemein:

„FileZilla“ ist ein FTP-Client Programm, welches unter „Open Source“ ist und unter der GPL-Lizenz fällt. Dieses Programm war seit Jahren mein Standard (S)FTP-Programm.

Versionen:

„FileZilla“ liegt in drei Versionen vor:

• als normale ausführbare Programmdatei (benötigt keine Installation)

• als Installationsdatei

• als speziell angepasste U3-Version

Schwachstelle:

Ich nutze „FileZilla“ in der normalen ausführbaren Programmdatei, die keine Installation erforderte. Diese war auf meinem U3-Stick abgelegt. Nachdem ich meinen Rechner neu aufgesetzt hatte, ist mir aufgefallen, dass im FTP-Clienten „FileZilla“ der aktuellen 3.er Version alle eingestellten Serverprofile weg waren.

Nachdem mir auch Andi, von unserem securITy-dome.eu Forum, diesen Tipp gegeben hat, habe ich mich auf die Suche begeben, wo diese Daten denn gepeichert werden, wenn nicht auf dem U3-/USB-Stick.

Im jeweiligen Benutzerprofil unter: ....\Anwendungsdaten\FileZilla finden sich fünf *.xml-Dateien. Entscheidend ist die "sitemanager.xml". Dort finden sich alle eingestellten Profile, sprich FTP-Serverzugänge inkl. Benutzername und Passwort - und zwar im KLARTEXT!

Bei der alten 2.er Version wurden die Zugangsdaten noch im Programmverzeichnis abgespeichert – aber auch im KLARTEXT!

Jeder dürfte sich bewusst darüber sein, wie gefährlich es ist, wenn Passwörter im Klartext abgespeichert werden! In der reinen ausführbaren Programmversion, die vielerorts auch als „portable Version“ angepriesen wird, kommt aber noch ein entscheidender Aspekt hinzu!

Wenn man an einem fremden Rechner „FileZilla“ vom U3-/USB-Stick aus ausführt, sind erst mal alle Zugangsdaten weg! Hat man diese im Kopf und gibt sie erneut ein, weil man dringenden Zugriff benötigt, sind diese dann auf dem fremden Rechner gespeichert - und zwar im KLARTEXT!

Natürlich ist auch das Abspeichern von Passworten in verschlüsselter Form kein Grund zum leichtfertigen Umgang mit Zugangsdaten. Dies ist aber weitaus besser, als das Speichern im Klartext.

Alternativen:

Natürlich habe ich mich auf die Suche nach Alternativen zu „FileZilla“ gemacht, weil dieser Zustand für mich absolut indiskutabel ist – vor allem, weil keinerlei Warnung oder Hinweis beim Abspeichern von Serverprofilen erscheint!

SpeedCommander:

Eine mögliche Alternative ist der Dateimanager „SpeedCommander“ von Sven Ritter`s „Speed Project“. Das Programm bietet neben einem ganz hervorragenden Zwei-Fenster Dateibrowser mit extrem vielen sinnvollen Funktionen auch einen in die Zwei-Fenstertechnik integrierten FTP-Clienten an. „SpeedCommander“ speichert das FTP-Benutzerpasswort in verschlüsselter Form ab - in der U3-Version auf dem U3-Stick!

Der FTP-Client des „SpeedCommander“ bietet folgende Funktionen:

• SFTP (verschlüsselte FTP-Verbindung über SSH)

• drei verschiedene FTP + SSL Verbindungen

• normale FTP Verbindung

• freie Auswahl des Server-Ports

• freie Beschreibung zur Verbindung

• aktiv/passiv FTP

• Start Directory (Server und lokal)

• Einstellungen zum Proxy-Server

• Zeitzonen Einstellung

• Idle-Time einstellbar

„SpeedCommander“ ist als installierbare und auch als U3-Version verfügbar. Das Programm ist Shareware.

WinSCP:

Auch LordF aus unserem securITy-dome.eu Forum hat sich nach dieser Meldung ebenfalls nach einem FTP-Clienten umgeschaut und ein sehr interessantes Programm gefunden! „WinSCP“ ist ein kostenloser „Open Source“ FTP-Client mit umfangreichen Funktionen. WinSCP ist aber deutlich auf Sicherheit ausgelegt:

• Passwörter werden verschlüsselt abgelegt – in der U3-Version auf dem U3-Stick

• im Standard ist das sehr viel sichere Protokoll SFTP angewählt

• beim Versuch ein Serverprofil zu speichern, wir trotz Verschlüsselung eine Warnung angezeigt

WinSCP bietet ebenfalls die Zwei-Fenstertechnik!

WinSCP ist als normale Installationsversion verfügbar und als spezielle U3-Version.

Abschliessende Worte:

Sie sehen, es gibt genügend Alternativen! Ich konnte hier auf die Schnelle nur ein paar Alternativen vorstellen.

Insgesamt rate ich dringend von Programmen ab, die Passworte im Klartext speichern! Es kann manchmal auch sinnvoll sein, bei Programmen die Passworte speichern, nach der entsprechenden Datei zu suchen.

In diesem Zusammenhang meinen Dank an Andi und LordF vom securITy-dome.eu Forum für die Unterstützung!

Externe Links:

Speed Project SpeedCommander: http://www.speedproject.de/

WinSCP Homepage: http://winscp.net/eng/index.php

WinSCP U3-Version: http://software.u3.com/Product_Details.aspx?ProductId=237&Selection=5&Lang=en-US

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum unter -->

http://www.security-dome.eu/forum/pA/index.php

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 25.01.08

Letzte Aktualisierung: 25.01.08

<-- Zurück zu den News