FAILLE de sécurité Filezilla

#1
Dans Filezilla, il ya une grande faille de sécurité.

J'en parle en connaissance de cause dans la mesure où j'ai été victime de celle-ci.

En effet, quand on enregistre les acces d'un site dans le gestionnaire des sites, les données en question (nom de l'hôte, nom utilisateur, etc ...) sont enregistrées "en clair" dans un fichier XML placé sur le disque dur.
Oui oui ... dans un fichier XML placé sur le disque dur ... tout simplement !
Qui plus est, si l'on défini la connexion au site FTP en mode "Normal" dans la rubrique "Logon Type", le mot de passe pour l'accès au site sera lui aussi enregistré dans le fameux fichier XML.
Et là et c'est ce qui est quand même extraordinaire sur un logiciel de cet acabit jugé par certains comme le meilleur du genre, c'est que ce mot de passe n'est pas crypté puisqu'en éditant le fichier XML en question dans un éditeur de textes (le bloc-botes par exemple), on voit le mot de passe "en clair".
Oui oui ... en clair !

Donc, il suffit que quelqu'un ou quelque chose récupère le fichier XML en question et hop ... ce quelqu'un ou ce quelque chose a tout ce qu'il faut pour se connecter à votre site FTP à votre place !

Donc, quand on enregistre des sites dans le gestionnaire de sites, pour colmater cette faille, il faut absolument sélectionner "Demander un mot de passe" dans la rubrique "Logon Type".
Partant de là, les mots de passe ne seront pas enregistrés dans le fameux fichier XML.

Bien.
Cette faille est largement exploitée par certaines "saloperies" qui circulent sur Internet.
Ainsi, lorsqu'elles infectent une machine, elles peuvent voir si Filezilla y est installé et, si c'est le cas ... PAN ... elles récupèrent le fichier XML en question et hop ... il est envoyé quelque part où quelqu'un pourra s'approprier les données qu'il contient étant donné que la plupart des utilisateurs mettent "Normal" dans la rubrique "Logon Type".

Prenez vos précautions !
 
#3
Bonjour

Merci pour ce conseil mais que nous conseilles tu alors comme logiciel ?
Pour ma part, je suis repassé a une version 2.2 de filezilla qui code les mots de passe des différents compte .... Ça reste du FTP, il n'y a pas des dizaines de fonctionnalités
 
Haut