Forum général.cherche-logiciel Client FTP stable et performant

Posté par .
Tags : aucun
1
24
mai
2011

Bonjour à tous,

J'ai récemment découvert que Filezilla stockait les mot de passe enregistrés en clair dans /home.

Au passage j'utilise Filezilla depuis des années dans l'ignorance de cette information, ça fait toujours plaisir.

Je suis donc à la recherche d'un remplaçant (graphique). Etant sous KDE j'ai testé KFTPGrabber mais je ne lui trouve que des défauts.

Après quelques recherches sur le net je n'ai pas trouvé grand chose.

Auriez-vous des recommandations à me faire ?

Merci !

  • # Dolphin ou Konqueror

    Posté par . Évalué à 4.

    Les deux font client FTP ou mieux sftp et tes mots de passe seront stocker dans KWallet.

    • [^] # Re: Dolphin ou Konqueror

      Posté par . Évalué à 1.

      Merci, très bonne idée. Sujet clos !

      • [^] # Re: Dolphin ou Konqueror

        Posté par . Évalué à 2.

        quand on voit la manière dont les dev traitent le sujet, je crois que je ne vais plus jamais utiliser ce logiciel (et vais effacer ~/.filezilla/ ) : http://trac.filezilla-project.org/ticket/1373

        "Once you've got malware on your computer, you've lost already, game over. You need to prevent the infection in the first place."

        Quelle belle lapalissade !

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: Dolphin ou Konqueror

          Posté par . Évalué à 1.

          Aujourd'hui, je vire aussi Filezilla de mes machines du boulot.

        • [^] # Re: Dolphin ou Konqueror

          Posté par . Évalué à 5.

          ben en fait faudrait savoir ce que les utilisateurs veulent.

          FileZilla en version 2 encryptait bien les mots de passe mais il les décodait pratiquement instantanément quand tu voulais t'en servir (ou quand tu mets à jour vers la version 3)

          et FileZilla étant libre, n'importe quel blaireau peut coder un décrypteur de mots de passe, juste en gardant le bout de code nécessaire parmi les sources de FileZilla

          donc cette protection était du vent. la personne qui venait te piquer un sitemanager.xml planqué dans un .filezilla savait très bien s'en servir, les outils nécessaires sont dispos et chiffrer les mots de passe ne t'apporte absolument rien, même pas une "sécurité minimale" comme on peut lire ici ou là.

          pour ne pas que FileZilla en version actuelle stocke de mot de passe, il faut choisir "ask for password" (ou arriver à le coupler avec d'autres systèmes de gestion de mots de passe)

          par contre ils ont un problème de communication là-dessus, ils devraient hurler HAUT ET FORT que le mot de passe sera stocké en clair si les utilisateurs décident de le stocker. et il y aura quand même des gus pour réclamer qu'il soit crypté même si ça ne sert strictement à rien.

          • [^] # Re: Dolphin ou Konqueror

            Posté par . Évalué à 6.

            chiffrer les mots de passe ne t'apporte absolument rien, même pas une "sécurité minimale" comme on peut lire ici ou là

            J'en déduis que c'était un chiffrement symétrique avec la clé (ou similaire) en dur dans le code. Si c'était chiffrer à partir d'un mot de passe maître comme pour Firefox cela serait tout à fait différent: chiffrer les mots de passe a du sens quand c'est bien fait, avec l'implémentation de Filezilla c'était du vent ça c'est sûr. Les inconvénients de la méthode Firefox est de devoir saisir le mot de passe maître à chaque lancement du logiciel et que ce n'est pas intégré à l'environnement de bureau. Pour ma part, je préfère ça à rien.

            Ils ont eu une très mauvaise conception de la sécurité, et à présent comme tu le dis si bien, ils préfèrent cacher ces défauts à l'utilisateur. Ils préfèrent même mettre la faute à l'OS en poussant les utilisateurs à chiffrer leur partition... sauf que cela ne changera rien pour la majorité des malwares.

            Par contre, puisque c'est open source, je me demande pourquoi personne ne fork et implémente la méthode de mot de passe maître (c'est la proposition la plus courante sur les forums), ou même toute autre solution meilleure ?

  • # Utilise filezilla

    Posté par (page perso) . Évalué à 3.

    Mais soit en cliquant l'option pour ne pas qu'il sauvegarde ces mots de passe, soit utilises sftp avec une petite clé.... et en démarrant le démon qui va bien pour gérer les passphrases.

  • # fireftp

    Posté par . Évalué à 3.

    comme extension firefox, fireftp n'est pas mal, et normalement si on rajoute un mot de passe principal, j'ose espérer que les mots de passe sont bien protégés.

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # mot de passe en clair

    Posté par (page perso) . Évalué à 3.

    au fait, tu sais qu'avec le protocole ftp, les noms de compte et mots de passe circulent AUSSI en clair sur le réseau ...

    • [^] # Re: mot de passe en clair

      Posté par . Évalué à 1.

      tu sais que FileZilla sait gérer autre chose que du FTP ?

      • [^] # Re: mot de passe en clair

        Posté par (page perso) . Évalué à 1.

        Le titre commence par "Client FTP", donc c'est bel et bien le besoin de base pour la question.

        • [^] # Re: mot de passe en clair

          Posté par . Évalué à 7.

          il y a quand même une différence notable entre les mots de passes stockés en clair sur le disque ( ou chiffrement symétrique avec clé en dur ) et un mot de passe pouvant être sniffé qu'au moment de la connexion.

          En même temps quand un logiciel me propose de stocker mes mots de passes sans en demander un maitre, je sais qu'ils sont stockés en clair, ou tout comme.

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # SFTP

    Posté par (page perso) . Évalué à 2.

    FTP c'est mal, tant au niveau de la sécurité que du système à deux connexions. Il faut utiliser SFTP à la place.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.