严重警告！使用FileZilla进行Godaddy空间上传的用户请注意！

28008 · 发表于 2009-5-20 09:35:53

安全最重要,支持

Dodaddy · 发表于 2009-5-20 10:25:59

谢谢提醒

tumour · 发表于 2009-5-20 10:50:15

谢谢 goldstein 兄的热心警告，官方如果有回复麻烦回来反馈一下。
安全最重要的还是习惯问题
尽量使用交互式方式登录。

fanqi1234 · 发表于 2009-5-20 18:37:21

除非是加密证书专用的盘（或者叫身份卡），不然还是一样。

aresvon · 发表于 2009-5-21 16:40:07

我发的贴子——虽然早就知道FILEZILLA是明文的，但没感觉什么不安全，LZ及LS各位一说有点冒汗啊。。。

FileZilla继续用，但删除了密码保存再说，以后每次手工输入。。。

[ 本帖最后由 aresvon 于 2009-5-21 04:41 PM 编辑 ]

斯文书生 · 发表于 2010-1-3 00:32:05

其实filezilla服务器端一样存在文本中，只不过采用的是MD5加密，如果你的密码不强壮，很遗憾，直接拿到MD5破解网站上直接就可以查看了！！！！

liveasx · 发表于 2010-1-3 05:51:16

FileZilla?早知道了,而且一直在用.
推薦使用綠色版本

xunhaha · 发表于 2010-1-3 10:02:19

安全最重要,支持

goldstein · 发表于 2010-4-20 22:43:57

原帖由 斯文书生 于 2010-1-3 00:32 发表
其实filezilla服务器端一样存在文本中，只不过采用的是MD5加密，如果你的密码不强壮，很遗憾，直接拿到MD5破解网站上直接就可以查看了！！！！

不是“filezilla服务器端”，而是所有FTP服务器都需要保存Hash过的密码散列值，要不怎么验证啊？

MD5不是加密，而是Hash，单向散列算法是不可逆的，只能比较是否相同，这样就不会暴露明文。

且不说10位以上复杂密码的MD5值你需要用多少TB的磁盘空间来储存（就更别谈遍历匹配了），能不能从服务器拿到密码文件就是个问题。

goldstein · 发表于 2010-4-20 23:03:03

一年快过去了，来反馈下：

提交的Bug报告被驳回。网上查了下，这个FileZilla的作者相当的酷（或者说是傲慢），无数人反应过这个问题，他就是置之不理。且不光是这问题，用户提交的很多很简单，几乎随手就可以增加的功能，N年过去了也无动于衷。他的答复是：

This is by design. Duplicate of several other, rejected bug reports. Go read a book about security.

复制代码

这或许就是开源软件的缺点所在，作者按照自己的喜好在空余时间开发，与其说是工作，不如说是个闲暇爱好。如果换做商业软件，为了迎合用户恐怕早改成不知道多么强悍的加密系统了。

通过FileZilla盗取密码的例子已经有了，啼笑皆非的是抄袭的就是本帖，具体参考：

我的韩国肉鸡一个网段十几台服务器都是靠这个提权的，都是在这里面找密码然后登陆服务器。
http://forum.darkst.com/thread-54681-1-1.html

复制代码

不打算再等下去了，照这样下去，可能连我重孙子都会用FTP上传文件时FileZilla的密码还是赤裸裸的明文。打算写一个FileZilla外挂，FileZilla不加密只有自己来用ECC+AES算法加密，密码这方面还是靠自己最稳妥。

[经验] 严重警告！使用FileZilla进行Godaddy空间上传的用户请注意！

GoDaddy讨论