Filezilla to świetny - wygodny, szybki, użyteczny i darmowy - klient FTP. Jest jednak jego ciemna strona - bezpieczeństwo przechowywanych danych do logowania na naszych serwerach, a raczej jego brak. W tym wpisie więcej o tym jak należycie przechowywać nasze hasła, tak aby uniknąć włamania na nasze konta FTP i zawirusowania wszystkich stron.
Jak przechowywane są zapisane hasła w FileZilli?
W przypadku dużej ilości kont FTP zapamiętywanie haseł w kliencie jest niezwykle wygodne. Większość użytkowników nie interesuje się jednak tym, gdzie i w jaki sposób nasze dane są zapisane.
Na przykładzie FileZilli są to dwa niezaszyfrowane pliki XML. Serwery zapisane w Menadżerze stron są przechowywane w pliku sitemanager.xml (lokalizacja pliku to C:\Users\{Nazwa użytkownika}\AppData\Roaming\FileZilla\sitemanger.xml). Dodatkowo dane wpisane w pola w głównym oknie programu zapisywane są w innym pliku recentservers.xml (ta sama lokalizacja).
Nikogo chyba nie trzeba przekonywać jak potencjalnie łatwym celem ataku są te dane. Wystarczy odpowiedni wirus, który wykradnie plik i mamy zawirusowane wszystkie strony. Google dodaje je do listy podejrzanych stron i w przeglądarce widzimy stronę z ostrzeżeniem przed wejściem. Dużo problemów i czasu potrzebnego na odkręcenie wszystkiego.
Autorzy programu są świadomi tego mankamentu. Uważają jednak, że to system operacyjny i oprogramowanie zabezpieczające są odpowiedzialne za bezpieczne przechowywanie plików i nie zamierzają nic w tej sprawie robić.
Czy zatem wystarczy zmienić program FTP na inny, który szyfruje dane wrażliwe?
Niestety nie wiele to nam pomoże, szczególnie w przypadku programów opensource. One też przechowują dane w plikach i skradziony plik przy odpowiednim nakładzie pracy może zostać odszyfrowany.
Potencjalne możliwości zabezpieczenia
Nie zapamiętywanie haseł w programach
Możemy zapisywać tylko dane do serwera bez hasła. W Menadżeże stron wybieramy w polu 'Typ logowania' zawsze wartość 'Pytaj o hasło'.
Niestety w przypadku dużej ilości kont FTP będzie to bardzo uciążliwe.
Bezpieczniejszy system operacyjny
Zmiana systemu operacyjnego Windows na inny, bezpieczniejszy. Wiadomo, że na Windowsa tworzona jest większość szkodliwego oprogramowania.
Systemy Unix'owe słyną też z większego poziomu bezpieczeństwa. Linux'y nie są takie straszne i skomplikowane jak kiedyś. Minusem niestety pozostaje brak kompatybilności niektórych programów.
Zaszyfrowanie haseł za pomocą TrueCrypt
Będzie nas to kosztowało trochę zabawy, ale możemy zaszyfrować FileZill'e w wersji portable na oddzielnej partycji z wykorzystaniem programu TrueCrypt.
Instrukcje, jak tego dokonać znajdziemy na tym blogu (język angielski).