jueves, enero 07, 2010

Filezilla NO encripta los datos de conexión de usuarios

Vaya mierda! Filezilla no encripta mis datos de conexión a servidores FTP! WTF!

FileZilla es un proyecto de software que brinda la posibilidad de tener un Servidor FTP, asimismo cuenta con un cliente FTP. Al parecer este bug [1] o feature está pendiente más de 20 meses! Es el colmo que no puedan resolver/corregir semejante atrocidad.

Me explico. Supongamos que me conecto al FTP de la empresa, o de algún sitio el cual administramos, y nos conectamos con FileZilla, el cliente FTP. Muy bueno y ligero. En fin, por cuestiones XXX o de cualquier índole un virus infecta nuestro sistema y logra leer el fichero sitemanager.xml el cual tiene los datos de acceso de cada usuario a los servidores. Todo esto en texto plano, ¿no me crees? Puedes verlo tú mismo...

En Windows XP:
C:/Documents and Settings/Usuario/Datos de programa/FileZilla/sitemanager.xml
C:/Documents and Settings/Usuario/Datos de programa/FileZilla/recentservers.xml

En Gnu/Linux:
/home/usuario/.filezilla/sitemanager.xml
/home/usuario/.filezilla/recentservers.xml

Ahora me crees?
Aqui dejo 2 buenas alternativas para usar como cliente FTP del día a día:

WinSCP, para Windows http://winscp.net/

BareFTP, para Gnu/Linux http://www.bareftp.org/


Lista de clientes FTP vulnerables al robo de contraseñas:
  • SecureFx
  • IpSwitch
  • FTPWare
  • Rhine Software
  • FileZilla
  • Total Commander
  • BulletProof Ftp
  • GlobalScape Ftp
  • CoffeCup Fp
  • Ftp Commander Pro
  • Smart Ftp
  • Leap Ftp
  • Far


[1] [Security] Passwords saved as plain text
http://trac.filezilla-project.org/ticket/1373

Via: Emiliano Velasco

1 comentario:

  1. Lamentable error.
    Miles de páginas han sido hackeadas de esta manera.

    ResponderEliminar