SIKKERHET

Endelig skal Filezilla få etterlengtet passordsikkerhet

Etter ti år med brukerhenvendelser har utvikleren gitt etter.

Neste oppdatering til filoverføringsverktøyet Filezilla åpner for passordbeskyttet, kryptert lagring av serverpassord. Brukergrensesnittet i testversjonen foreløpig ikke ferdig oversatt til norsk.
Neste oppdatering til filoverføringsverktøyet Filezilla åpner for passordbeskyttet, kryptert lagring av serverpassord. Brukergrensesnittet i testversjonen foreløpig ikke ferdig oversatt til norsk. Bilde: Skjermbilde
Harald BrombachHarald BrombachNyhetsleder
29. mai 2017 - 18:00

Filezilla er et mye brukt filoverføringsverktøy som støtter både FTP og kryptert FTP, inkludert SFTP (SSH File Transfer Protocol). Det brukes blant annet av mange utviklere til flytting av filer mellom for eksempel Windows-baserte pc-er og Linux-baserte servere. 

Filezilla støtter rask pålogging ved at brukeren kan lagre påloggingsinformasjonen til serverne man pleier å bruke. Dette inkluderer både brukernavn og passord. Men det er et alvorlig problem knyttet til dette. Filezilla lagrer nemlig denne informasjonen nærmest i klartekst i et XML-dokument (sitemanager.xml).

Base64

Brukernavnet lagres faktisk i klartekst, mens passordet er base64-kodet.

Base64 er ikke noen form for kryptering, bare en annen måte å representere dataene på. Det kan veldig enkelt dekodes, for eksempel ved hjelp av en webbaserte tjenester som dette.

Tilsvarende informasjon om serverinnlogginger som nylig har blitt utført, lagres i filen recentservers.xml. 

Ifølge Bleeping Computer har brukere gjentatte ganger de siste ti årene bedt om at Filezilla får støtte for kryptering av passordene og et hovedpassord for å låse hele opp. Når innloggingsinformasjonen lagres ukryptert i en fast fil, kan det være enkelt for uvedkommende eller skadevare å snappe opp dette. 

Leste du denne? Sikkerheten til alle de mest populære passordappene var langt under pari

Uenig

Tim Kosse, som er utvikleren av Filezilla, har i mange år avvist ønskene om å få på plass en slik løsning. Han har blant annet argumentert med at dersom maskinen har blitt infisert med skadevare, så vil den uansett ha mulighet til å fange opp hovedpassordet når brukeren taster inn dette. 

Dette har frustrert en del brukere, men ikke mer enn at det først november i fjor var noen som lagde en «fork» av GPL-lisensierte Filezilla, Filezilla Secure, hvor den etterspurte hovedpassord-funksjonaliteten er inkludert. 

Har gitt etter

Om det er denne utgivelsen som har fått Kosse til å gi etter, er uklart. Men Kosse kunngjorde i forrige uke at også Filezilla skal få et slikt hovedpassord. Det betyr likevel ikke at han har skiftet mening om at funksjonaliteten er temmelig meningsløs. 

– Siden de fleste brukere kjører Windows, er dette som å sette på en hvelvdør på et telt lagd av toalettpapir, under en haglskur. Men joda, døren ser stilig ut, og det er det som teller? skriver Kosse.

Uansett om Kosse har rett eller ikke, så kommer funksjonaliteten i versjon 3.26.0 av Filezilla. En ikke-stabil testversjon er allerede tilgjengelig her.

Les også: Sannsynligvis bruker du et av disse passordene. Da bør du vurdere å bytte

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.