FileZilla は FTP 情報を平文で XML ファイルに保存している

FFFTP がやられてるらしい情報があちこちに出たからか、Sota's Web Page (GumblarによるFFFTPへの攻撃について) が掲載されました。で、コレを受けてか「FileZilla なら FTP/SFTP/FTPS に対応してるぞ。おススメ!」という情報が出回り始めてます。

が、FileZilla を使う場合は気をつけないといけないことがあります。それはFileZillaFTP 情報を平文で XML ファイルに保存していることです。最新版なのかな、ver. 3.3.1 でも未だそうなってます。

サイトマネージャの画面がコレ。

で、XML ファイルの中身がコレ。

この情報自体、ググってどなたかのブログで見つけたものですし、私も一時期「FileZilla って良さそうだなぁ」と思っていたクチなので偉そうなことを言えませんが、「FFFTP はダメだから FileZilla にしよう」という安易な発想ではかえって深刻な事態を招きかねません。

ちなみにこの件については FileZillaTrac に 2年くらい前にバグとして投稿されましたが「こういう設計だ」という回答がなされています。

This is by design, it is the task of the operating system to protect the user's files. Just encrypt your home directory.

#1373 ([Security] Passwords saved as plain text) – FileZilla

まぁ、当たり前の回答ですが、せめて FFFTP のように何らかのエンコードくらいして欲しいものですよね。

273 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:01:50
>>270
一般的なソフトのパスワード保存って、
もしくは簡単な独自アルゴリズムで暗号化・複合*1してる、
もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる

暗号化っていうよりエンコードに近い

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

*1:注:復号ですがな