web-dev-qa-db-fra.com

Dois-je utiliser FileZilla?

Récemment, un nombre croissant de personnes ont commencé à conseiller de s'éloigner de FileZilla. Cependant, la seule raison pour laquelle je peux voir cela est que FileZilla stocke les informations de connexion sous une forme complètement non cryptée, mais comme le dit Mozilla - c'est sûrement le travail du système d'exploitation de protéger les fichiers de configuration?

Alors, y a-t-il une autre raison pour laquelle je ne devrais plus utiliser FileZilla, car je n'ai jamais eu de problème avec lui? Quelqu'un m'a dit que la façon dont cela fonctionnait n'était pas sécurisée non plus, mais je pense qu'ils commençaient à être confus par le fait que FTP transmet les mots de passe en texte brut de toute façon.

25
Andy

FileZilla en soi n'est pas intrinsèquement non sécurisé. Oui, il stocke les mots de passe en texte clair, mais les alternatives ne sont que légèrement plus sécurisées. Vous voyez, le cryptage des informations d'identification nécessite une clé de cryptage qui doit être stockée quelque part. Si un malware s'exécute sur votre compte utilisateur, il a autant accès à ce que vous (ou toute autre application fonctionnant au même niveau) avez. Cela signifie qu'ils auront également accès aux clés de cryptage ou aux clés cryptant les clés de cryptage, etc.

Votre meilleure option ici est de désactiver le stockage des mots de passe dans FileZilla

disable-password-save-filezilla

Ensuite, commencez à utiliser KeePass pour stocker les informations d'identification de votre compte. Il existe également de nombreux guides sur Internet sur la façon d'intégrer KeePass avec FileZilla . Ce faisant, vous stockez la clé de chiffrement dans un endroit où les logiciels malveillants n'ont pas accès; vous stockez la clé de cryptage (ou plutôt, le mot de passe dont la clé de cryptage est dérivée) dans votre cerveau.

Enfin (et cela dépasse peut-être un peu la portée de votre question), assurez-vous de vous éloigner du FTP en faveur de SFTP .

48
Adi

À moins que votre alternative n'ait une option où vous devez fournir un mot de passe (qui est utilisé pour crypter vos paramètres contenant des IP et des informations d'identification), je ne verrais pas pourquoi vous auriez besoin de migrer.

Si vous migrez d'une application à une autre, vous devez vous assurer que pourquoi (en détail) la nouvelle application est meilleure que l'application précédente.

12
Lucas Kauffman

Je pense que l'une des principales raisons pour lesquelles les gens conseillent de s'éloigner de Filezilla est clairement le fait que les mots de passe sont stockés en texte brut et donc facilement volés. La mauvaise réputation de Filezilla a commencé il y a quelques années lorsque certains malwares ont commencé à cibler spécifiquement Filezilla. En utilisant des failles critiques dans les logiciels tiers (à savoir flash et acrobat reader), ces malwares ont pu voler le fichier de passe XML utilisé par Filezilla pour stocker les mots de passe. La plupart du temps, ces malwares ont été éradiqués et nettoyés en quelques secondes, mais les données ont été volées. Ces fichiers d'identification volés ont ensuite été traités dans un réseau de zombies de robots très compliqué qui s'est connecté à chaque ftp contenu dans le fichier, l'a analysé puis a propagé des logiciels malveillants dans chaque fichier index.html/php trouvé sur ces FTP. En moins de 2 heures, tous les sites ftp stockés dans filezilla ont été infectés. À l'époque, le processus a été très bien documenté par certains webmasters victimes.

Probablement des milliers de webmasters, des dizaines de milliers de sites Web, ont été infectés à cause de cela. Beaucoup se sont plaints du fait que les mots de passe n'étaient pas cryptés.

La deuxième raison pour laquelle les gens conseillent de s'éloigner de Filezilla est la réaction de l'équipe de développement: au lieu d'ajouter cette fonctionnalité, ils ont simplement refusé tous les arguments, renvoyant la responsabilité à des systèmes mal sécurisés ou prétendant que le cryptage des mots de passe ne changerait rien, que c'était la responsabilité du système de sécuriser les données.

Donc pour l'instant, si vous voulez toujours utiliser Filezilla (qui est un bon client ftp), vous devriez vraiment envisager de désactiver toutes les options de stockage de mot de passe et d'utiliser un outil tiers comme Keepass. C'est un peu pénible dans le * mais c'est plus sûr. Vous pouvez même trouver des avantages bonus avec Keepass parce que vous aurez un outil pour centraliser les informations d'identification inter-protocoles de manière plus sûre

2
Yannick Bétemps

FileZilla est désormais livré avec des logiciels malveillants et les développeurs en sont conscients et en retirent probablement de l'argent.

Recherchez FileZilla Premieropinion dans Google ou lisez l'un des nombreux fils sur le forum de Filezilla:

https://forum.filezilla-project.org/viewtopic.php?t=31967&start=
https://forum.filezilla-project.org/viewtopic.php?t=3024

Le développeur continue de dire que vous avez la possibilité de vous désinscrire, mais le programme d'installation est CLAIREMENT conçu pour induire les gens en erreur. Je travaille dans l'industrie de la technologie (donc je suis généralement conscient des problèmes de sécurité) et je me suis fait avoir, comme d'innombrables autres. C'était aussi ma première expérience de malware avec Mac.

Je n'utiliserai plus jamais FileZilla. Même si vous pouvez vous "désinscrire", cela est clairement conçu pour tromper les utilisateurs et le pire de tout, le développeur ne fait que copier-coller une réponse malhonnête sur les forums de FileZilla. Donc, même si le logiciel peut encore fonctionner, je n'accepterai jamais l'attitude du développeur. Le problème n'est pas d'essayer de monétiser votre travail. Le problème tente de tromper vos utilisateurs.

1
Jonh

En ce qui concerne le problème mentionné par Adi concernant le stockage des mots de passe en texte brut, il est bon de savoir que depuis la version 3.26.0-rc1 (2017-05-25), FileZilla prend en charge les mots de passe cryptés protégés par un mot de passe principal. Par conséquent, il n'y a aucune raison de dire que FileZilla est moins sécurisé que les autres clients FTP.

Voir entrée du journal de développement .

Pour modifier ce paramètre: Modifier> Paramètres> Mot de passe> ...

enter image description here

1
DecimalTurn

C'est peut-être parce qu'ils ont récemment conclu un accord pour commencer à regrouper les logiciels malveillants avec leurs téléchargements, et l'un de leurs développeurs a donné aux gens une mauvaise attitude, affirmant que ce n'est pas un logiciel malveillant, ce n'est pas sa décision de plaisanter comme vous pouvez choisir de ne pas l'installer une fois vous installez d'abord le programme d'installation chargé de logiciels malveillants.

https://forum.filezilla-project.org/viewtopic.php?t=3024

Il peut s'agir de mots de passe stockés en texte brut, mais je doute vraiment que ce soit un problème pour la foule de la sécurité que le regroupement de logiciels malveillants dans le programme d'installation, l'ajout d'options qui nuent mal à tous vos mots de passe dans la barre de connexion rapide, et juste l'attitude récemment médiocre envers les gens qui essaient de se plaindre de ces changements récents. L'attitude semble être que vous pouvez toujours désactiver les options d'installation de logiciels malveillants si vous savez ce que vous faites, une fois que vous avez téléchargé le programme d'installation chargé de logiciels malveillants.

1
informit

J'utilise la version portable 3.16.1 et les mots de passe sont cryptés. Une fois que le fichier de données est dans un répertoire différent que d'habitude (ex: disque portable) et que tous les mots de passe sont cryptés, il est suffisamment sûr pour moi.

0
SandroMarques