Filezilla almacena sus credenciales, tanto del gestor de sitios, como el histórico en diferentes archivos, independientemente de la plataforma del sistema operativo.
Hace unos años que es así, busca en los foros de filezilla si quieres más información y cómo evitarlo. No es el único programa que funciona de este modo, pidgin también, y seguramente más. No es una política que me guste demasiado pero se supone que es el sistema operativo el que no debe permitir que un usuario acceda a los datos del otro.
#2 Como dice #3 no has debido leerlo bien. Lo que dice el artículo es una auténtica cagada por parte de los creadores de Filezilla, con sólo tener acceso local (e incluso externo) al equipo podrás hacerte con las credenciales de cada uno de los servidores FTP configurados en ese equipo.
#5 Es muy tarde para explicarlo bien, espero hacerlo bien. La forma correcta de conectarse mediante SSH de forma automática, no es almacenando el nombre y pass del usuario, sino generando una clava RSA (que como seguro que sabes crea una privada y otra pública). Como Filezilla ni el usuario medio sabe configurar esto en un servidor, FileZilla almacena las contraseñas. Personalmente creo que da igual que estén cifradas o no, porque si en algún momento tiene que descifrarlas el mismo programa para crear la sesión (ya que su modo de identificación programado en Filezilla -creo - que es solo de usuario/pass), otro software con malas intenciones podría también descifrar ese usuario y/o pass al igual que puede FileZilla.
#10 Creo que MSN pasa usuario y pass sin cifrar, pero de esto no estoy seguro.
Pero de todas formas volvemos a lo de antes. Si pidgin tiene que descifrar unos datos para enviárselos a un protocolo de comunicación (de lo que sea), también puede hacerlo cualquier otro programa. Además está el añadido de si te conectas con pidgin a un protocolo que no cifra user y pass. Con un sniffer lo coges. Más fácil imposible.
si pero esto es más inseguro, aunque si entramos en ese debate... filezilla es un endpoint, puede descifrar credenciales y al usar protocolo como ssh, o ftpes o ftps, o bueno sftp... pues nunca van a ir por el canal en plano...
Imagina q te roban el equipo, si el disco duro no está cifrado acceden al fichero con facilidad... también depende de para qué uses el filezilla... yo no almacenaría credenciales, pero lo del histórico... no?
Comentarios
Hace unos años que es así, busca en los foros de filezilla si quieres más información y cómo evitarlo. No es el único programa que funciona de este modo, pidgin también, y seguramente más. No es una política que me guste demasiado pero se supone que es el sistema operativo el que no debe permitir que un usuario acceda a los datos del otro.
también se supone q es el usuario el que debe poner la lógica...
@dano88 no has debido leer...
esto es como el dejen salir antes de entrar... lee antes de opinar xq no tiene que ver...
#3 Sé que no tiene nada que ver con lo que has escrito. Pero también se ve que no tienes ni idea de por qué he comentado eso.
#2 Como dice #3 no has debido leerlo bien. Lo que dice el artículo es una auténtica cagada por parte de los creadores de Filezilla, con sólo tener acceso local (e incluso externo) al equipo podrás hacerte con las credenciales de cada uno de los servidores FTP configurados en ese equipo.
@dano88 sorprendeme
#5 Es muy tarde para explicarlo bien, espero hacerlo bien. La forma correcta de conectarse mediante SSH de forma automática, no es almacenando el nombre y pass del usuario, sino generando una clava RSA (que como seguro que sabes crea una privada y otra pública). Como Filezilla ni el usuario medio sabe configurar esto en un servidor, FileZilla almacena las contraseñas. Personalmente creo que da igual que estén cifradas o no, porque si en algún momento tiene que descifrarlas el mismo programa para crear la sesión (ya que su modo de identificación programado en Filezilla -creo - que es solo de usuario/pass), otro software con malas intenciones podría también descifrar ese usuario y/o pass al igual que puede FileZilla.
@dano88 si si, creeme que lo entiendo perfectamente http://www.flu-project.com/configuracion-servidor-ssh-en-gnulinux-parte-vi.html
y bueno, Filezilla podría mejorarlo... la excusa de Pidgin también lo hace mal no es válida... si te tiras por un pozo no iré detrás...
Te dejo más info: http://www.seguridadapple.com/2011/08/warning-filezilla-almacena-tus.html
http://www.seguridadapple.com/2010/09/configuracion-openssh-en-dispositivos_15.html
gracias por escribir tan tarde... pero no hace falta
#10 Creo que MSN pasa usuario y pass sin cifrar, pero de esto no estoy seguro.
Pero de todas formas volvemos a lo de antes. Si pidgin tiene que descifrar unos datos para enviárselos a un protocolo de comunicación (de lo que sea), también puede hacerlo cualquier otro programa. Además está el añadido de si te conectas con pidgin a un protocolo que no cifra user y pass. Con un sniffer lo coges. Más fácil imposible.
#11 msn conversaciones en plano, desde luego
si pero esto es más inseguro, aunque si entramos en ese debate... filezilla es un endpoint, puede descifrar credenciales y al usar protocolo como ssh, o ftpes o ftps, o bueno sftp... pues nunca van a ir por el canal en plano...
Imagina q te roban el equipo, si el disco duro no está cifrado acceden al fichero con facilidad... también depende de para qué uses el filezilla... yo no almacenaría credenciales, pero lo del histórico... no?
Votos negativos? si la noticia es la hostia!
#1 Claro claro, como FTP cifra todo...