严重警告！使用FileZilla进行Godaddy空间上传的用户请注意！

goldstein · 发表于 2009-5-17 20:55:45

严重警告！使用FileZilla进行Godaddy空间上传的用户请注意！

由于 Godaddy 空间上传速度较慢，前几天有会员推荐使用 FileZilla 进行上传，见此贴：http://bbs.idcspy.com/thread-47857-1-1.html

今天意外发现 FileZilla 一个严重的安全问题，FTP密码竟然是以明文形式存放在磁盘文件里！

以下三个文件包含你的FTP密码：

filezilla.xml - Stores most recent server info including password in plaintext.
recentservers.xml - Stores all recent server info including password in plaintext.
sitemanager.xml - Stores all saved sites server info including password in plaintext.

复制代码

这些文件通常存放于这些目录下：

Windows XP/2K: "C:\Documents and Settings\username\Application Data\FileZilla"
Windows Vista: "C:\Users\username\AppData\Roaming\FileZilla"
Linux: "/home/username/.filezilla/"

复制代码

真是昏，密码直接以未加密的明文形式存放于 XML 文件的 < Pass>YourPassword</Pass> 内。就是随便用个简单的对称算法甚至 XOR 加密都比赤裸裸的放着强啊！

如果你的机器被其它人使用，或者你的机器中了木马，都可能会导致你所有网站的FTP密码被盗；而且如果你的FTP与用户名和登陆账户一样，连控制面板权限都会被盗。

根据社会工程学，如果你的其它重要密码和这些密码完全一样或者某些部分相似，黑客完全可以指数级地减少字典暴力穷举的次数……

解决办法：

1. 采用“询问密码”或“交互式”方式登陆，这样密码不保存在磁盘上。

2. 干脆不使用 FileZilla 。

孰轻孰重，各位看官自便。

[ 本帖最后由 goldstein 于 2009-5-17 08:58 PM 编辑 ]

miibeian · 发表于 2009-5-17 22:39:08

高人。。

不过偶想说的是。。

哪个FTP软件的密码不是可以马上破解的？。。。

ffnn · 发表于 2009-5-18 10:06:46

add.c · 发表于 2009-5-18 10:10:02

你用的就是吧
感觉还是我的cuteftp好用

fanqi1234 · 发表于 2009-5-18 10:12:16

曾经试用过《深山红叶》光盘里的一款小工具，可以直接读取本机上保存的绝大多数密码。什么ie、oe、各种ftp、聊天工具，全都能看到。

——
单机密码保存本来就不可能安全——除非有一个钥匙链的主密码用来加密。
一般单机保存密码，即使XOR，也很容易就被破解。因为密码是固化在软件中无法改变的。与明文存放没有什么区别。

任何涉及到安全问题的账号密码都不应该在软件的自动登录中保存。
用任何FTP软件只要存了密码，下场都是一样的。

goldstein · 发表于 2009-5-18 11:20:16

原帖由 fanqi1234 于 2009-5-18 10:12 发表
单机密码保存本来就不可能安全——除非有一个钥匙链的主密码用来加密。

多层对称算法加密在本机环境下等同于一层对称算法，不管你是用几个主密码，都是没有意义的。在本地调试器面前，没有任何秘密可言。

相对务实一点的做法使用公开密匙算法(ECC、RSA等)加密对称算法密匙，再用对称算法(AES、IDEA等)加密 FTP 密码，类似于 SSL 的原理。这样虽然不能保证完全不被Crack，但可以给Cracker带来很大的麻烦。

而这些主流的FTP客户端软件，大部分采用的是自己写的弱算法，仅仅用了些幼儿园级的 XOR 小把戏，就别谈什么主流对称算法的抗雪崩、扩散和非线性逆向了，其强度在密码学专业和安全专业的新手面前都不堪一击。

FlashFXP 的密码存在 Sites.dat 文件内，用的自己写的一个简单的算法加密，已经N年前就被逆向N次了。

CuteFTP 和 LeapFTP 等稍稍强点点，不过也早被逆向N次了。半斤八两。

至于这个 FileZilla 就更酷了，直接裸奔。

或许 FileZilla 的开发者认为 FTP 密码如果用普通方式连接总是要以明文出现在数据包中的，会被 Sniffer 嗅探到，所以不加密。但它恰恰又提供了 SFTP 连接（密匙一般用公开密匙算法 RSA 或 DSA 数字签名），真是让人莫明其妙。

所以，要么干脆就不保存密码；要么就要保证自己机器的绝对安全。

goldstein · 发表于 2009-5-18 15:56:22

已经向开发者报告了这个问题，看新版本有没有改进。

add.c · 发表于 2009-5-18 16:20:49

原帖由 goldstein 于 2009-5-18 11:20 发表

所以，要么干脆就不保存密码；要么就要保证自己机器的绝对安全。

尽量保证自己电脑的安全性够高

ffnn · 发表于 2009-5-18 16:27:27

楼主太有责任心了，支持。

angelstar · 发表于 2009-5-18 16:53:24

中马的话人家可以把整个ftp客户端目录拷回去解密码就可以了，不管什么客户端都一样，放在机器上嗅探即可。要想安全，可以做个加密盘，把ftp客户端放在加密盘里，用的时候加载加密盘，不用的时候卸载加密盘

[经验] 严重警告！使用FileZilla进行Godaddy空间上传的用户请注意！

评分

回复 4# 的帖子

评分

评分

GoDaddy讨论