Tweet
Salut à tous,
J'ai découvert récemment FileZilla Secure, un fork de FileZilla distribué sous licence publique générale GNU.
Filezilla stocke les données des sessions distantes établis précédemment dans un fichier .xml (dans %appdata% sous windows). Et dans ce fichier on peut retrouver l'adresse du serveur distant et le login en clair. Le mot de passe sera lui par contre encodé en base64 ...et quand on sait que en quelques secondes le décodage base64 se fait à l'aide d'un simple navigateur, c'est plutôt flippant si quelqu'un met la main sur ce fichier.
FileZilla Secure a été forké par dns4lyfe, lui-même victime d'un piratage à cause de cette faille. Les développeurs de FileZilla refusant de corrigée cette faille prétextant que "c'est à l'éditeur du système d'exploitation d'améliorer et de renforcer sa sécurité".
FileZilla Secure va demander une clé maître à chaque ouverture du logiciel pour un chiffrement des sessions en local (à ne pas confondre avec la notion de certificat, FTPS ou SFTP). En effet, le même fichier duquel on pouvais retrouver les identifiants aura changer d'extension (de XML à .dat) et sera chiffré et donc illisible.
Il n'est disponible pour l'instant que sur Windows, les autres plate-formes étant en cours de développement. Personnellement, je l'ai essayé, et je l'adopte
Téléchargement ici => http://www.filezillasecure.com/
Sources : https://aide-memoire.blog-machine.in...ans-filezilla/
http://www.clubic.com/telecharger/lo...iciel-ftp.html
http://www.filezillasecure.com/
J'ai découvert récemment FileZilla Secure, un fork de FileZilla distribué sous licence publique générale GNU.
Filezilla stocke les données des sessions distantes établis précédemment dans un fichier .xml (dans %appdata% sous windows). Et dans ce fichier on peut retrouver l'adresse du serveur distant et le login en clair. Le mot de passe sera lui par contre encodé en base64 ...et quand on sait que en quelques secondes le décodage base64 se fait à l'aide d'un simple navigateur, c'est plutôt flippant si quelqu'un met la main sur ce fichier.
FileZilla Secure a été forké par dns4lyfe, lui-même victime d'un piratage à cause de cette faille. Les développeurs de FileZilla refusant de corrigée cette faille prétextant que "c'est à l'éditeur du système d'exploitation d'améliorer et de renforcer sa sécurité".
FileZilla Secure va demander une clé maître à chaque ouverture du logiciel pour un chiffrement des sessions en local (à ne pas confondre avec la notion de certificat, FTPS ou SFTP). En effet, le même fichier duquel on pouvais retrouver les identifiants aura changer d'extension (de XML à .dat) et sera chiffré et donc illisible.
Il n'est disponible pour l'instant que sur Windows, les autres plate-formes étant en cours de développement. Personnellement, je l'ai essayé, et je l'adopte
Téléchargement ici => http://www.filezillasecure.com/
Sources : https://aide-memoire.blog-machine.in...ans-filezilla/
http://www.clubic.com/telecharger/lo...iciel-ftp.html
http://www.filezillasecure.com/
.
Commentaire