Безопасность паролей в Filezilla

Filezilla - это бесплатный популярный FTP-клиент, который обеспечивает пользователю доступ к данным с локального компьютера на удаленный сервер при помощи FTP, SFTP и FTPS. Программа является кроссплатформенной и работает как на системах Windows, так и на Mac OS X и Linux.

Помимо всех достоинств, у Filezilla присутствует большая проблема безопасности, с которой сталкивается каждый пользователь. Пароли для соединения с сервером хранятся в XML файлах в незашифрованном виде.

По словам разработчика, это преднамеренный эффект, так как, за безопасность личных данных ответственна операционная система, которая установлена на пользовательском компьютере. С точки зрения аспектов безопасности это абсолютно неприемлемо, так как различному вредоносному программному обеспечению (Gumblar или Troj/JSRedir-R) не составит никакого труда пробраться к этим данным и с помощью добытой информации взломать веб-сайты.

Данные в открытом виде сохраняются в XML файлах

Информация храниться в двух определенных файлах – sitemanager.xml и recentservers.xml, которые находятся в следующих каталогах:

  • "C:\Documents and Settings\<username>\Application Data\Filezilla" (Windows XP)
  • "C:\Users\<username>\AppData\Roaming\FileZilla" (Windows Vista/7)
  • "~/.filezilla" (Linux / Mac OS X)

Файл sitemanager.xml создается тогда, когда пользователь сохраняет информацию о своих сайтах в менеджере сайтов.

Незакодированный пароль в sitemanager.xml

Файл recentservers.xml создается тогда, когда пользователь использует функцию быстрого соединения в тулбаре Filezilla. Программа направляет введенные данные в незакодированном виде в XML-данные.

Незакодированный пароль в recentservers.xml

Проверяйте ваши настройки в Filezilla

Для уменьшения риска угрозы кражи паролей, вы принципиально не должны сохранять никакие FTP-соединения в менеджере сайтов и четко прописать в настройках Filezilla не сохранять ваши пароли автоматически. Это можно сделать в пункте меню Редактирование –> Настройки –> Интерфейс.

Опция "Не сохранять пароли"

Если вы уже используете Filezilla, в пункте Редактирование –> Удалить личные данные, можно удалить записи для быстрого соединения и менеджера сайтов. Таким образом оба вышеуказанных XML-файла очищаются, а все записи стираются.

Установка функции Auto-type в KeePass для Filezilla

Мы советуем использовать специальные программы для хранения паролей, например KeePass в сочетании со сложным мастер-паролем. С помощью функции Auto-type можно быстро и легко применять быстрое соединение в тулбаре для соединения к FTP-серверам. Нужно просто создать новую запись в базе данных KeePass и ввести следующие данные:

  • В поле username определяется логин пользователя
  • В поле password – пароль доступа пользователя
  • В поле URL сохраняется адрес сервера

Напоследок, в поле для комментариев нужно ввести следующие строки:

  • Auto-Type: {URL}{TAB}{USERNAME}{TAB}{PASSWORD}{ENTER}
  • Auto-Type-Window: FileZilla

Конфигурация KeePass для глобальной функции Auto-type

Теперь при запуске Filezilla и одновременном использовании глобальной функции Auto-type от KeePass (по умолчанию Ctrl-Alt-A) программа автоматически заполняет все три необходимых поля в тулбаре быстрого соединения и начинает процесс соединения с сервером.