Bonjour à tous,
J'ai récemment découvert que Filezilla stockait les mot de passe enregistrés en clair dans /home.
Au passage j'utilise Filezilla depuis des années dans l'ignorance de cette information, ça fait toujours plaisir.
Je suis donc à la recherche d'un remplaçant (graphique). Etant sous KDE j'ai testé KFTPGrabber mais je ne lui trouve que des défauts.
Après quelques recherches sur le net je n'ai pas trouvé grand chose.
Auriez-vous des recommandations à me faire ?
Merci !
# Dolphin ou Konqueror
Posté par Nonolapéro . Évalué à 4.
Les deux font client FTP ou mieux sftp et tes mots de passe seront stocker dans KWallet.
[^] # Re: Dolphin ou Konqueror
Posté par kursus_hc . Évalué à 1.
Merci, très bonne idée. Sujet clos !
[^] # Re: Dolphin ou Konqueror
Posté par B16F4RV4RD1N . Évalué à 2.
quand on voit la manière dont les dev traitent le sujet, je crois que je ne vais plus jamais utiliser ce logiciel (et vais effacer ~/.filezilla/ ) : http://trac.filezilla-project.org/ticket/1373
"Once you've got malware on your computer, you've lost already, game over. You need to prevent the infection in the first place."
Quelle belle lapalissade !
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Dolphin ou Konqueror
Posté par jujubickoille . Évalué à 1.
Aujourd'hui, je vire aussi Filezilla de mes machines du boulot.
[^] # Re: Dolphin ou Konqueror
Posté par Gniarf . Évalué à 5.
ben en fait faudrait savoir ce que les utilisateurs veulent.
FileZilla en version 2 encryptait bien les mots de passe mais il les décodait pratiquement instantanément quand tu voulais t'en servir (ou quand tu mets à jour vers la version 3)
et FileZilla étant libre, n'importe quel blaireau peut coder un décrypteur de mots de passe, juste en gardant le bout de code nécessaire parmi les sources de FileZilla
donc cette protection était du vent. la personne qui venait te piquer un sitemanager.xml planqué dans un .filezilla savait très bien s'en servir, les outils nécessaires sont dispos et chiffrer les mots de passe ne t'apporte absolument rien, même pas une "sécurité minimale" comme on peut lire ici ou là.
pour ne pas que FileZilla en version actuelle stocke de mot de passe, il faut choisir "ask for password" (ou arriver à le coupler avec d'autres systèmes de gestion de mots de passe)
par contre ils ont un problème de communication là-dessus, ils devraient hurler HAUT ET FORT que le mot de passe sera stocké en clair si les utilisateurs décident de le stocker. et il y aura quand même des gus pour réclamer qu'il soit crypté même si ça ne sert strictement à rien.
[^] # Re: Dolphin ou Konqueror
Posté par Thrillseeker . Évalué à 6.
J'en déduis que c'était un chiffrement symétrique avec la clé (ou similaire) en dur dans le code. Si c'était chiffrer à partir d'un mot de passe maître comme pour Firefox cela serait tout à fait différent: chiffrer les mots de passe a du sens quand c'est bien fait, avec l'implémentation de Filezilla c'était du vent ça c'est sûr. Les inconvénients de la méthode Firefox est de devoir saisir le mot de passe maître à chaque lancement du logiciel et que ce n'est pas intégré à l'environnement de bureau. Pour ma part, je préfère ça à rien.
Ils ont eu une très mauvaise conception de la sécurité, et à présent comme tu le dis si bien, ils préfèrent cacher ces défauts à l'utilisateur. Ils préfèrent même mettre la faute à l'OS en poussant les utilisateurs à chiffrer leur partition... sauf que cela ne changera rien pour la majorité des malwares.
Par contre, puisque c'est open source, je me demande pourquoi personne ne fork et implémente la méthode de mot de passe maître (c'est la proposition la plus courante sur les forums), ou même toute autre solution meilleure ?
# Utilise filezilla
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 3.
Mais soit en cliquant l'option pour ne pas qu'il sauvegarde ces mots de passe, soit utilises sftp avec une petite clé.... et en démarrant le démon qui va bien pour gérer les passphrases.
# fireftp
Posté par B16F4RV4RD1N . Évalué à 3.
comme extension firefox, fireftp n'est pas mal, et normalement si on rajoute un mot de passe principal, j'ose espérer que les mots de passe sont bien protégés.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# mot de passe en clair
Posté par eric gerbier (site web personnel) . Évalué à 3.
au fait, tu sais qu'avec le protocole ftp, les noms de compte et mots de passe circulent AUSSI en clair sur le réseau ...
[^] # Re: mot de passe en clair
Posté par Gniarf . Évalué à 1.
tu sais que FileZilla sait gérer autre chose que du FTP ?
[^] # Re: mot de passe en clair
Posté par Kerro . Évalué à 1.
Le titre commence par "Client FTP", donc c'est bel et bien le besoin de base pour la question.
[^] # Re: mot de passe en clair
Posté par fearan . Évalué à 7.
il y a quand même une différence notable entre les mots de passes stockés en clair sur le disque ( ou chiffrement symétrique avec clé en dur ) et un mot de passe pouvant être sniffé qu'au moment de la connexion.
En même temps quand un logiciel me propose de stocker mes mots de passes sans en demander un maitre, je sais qu'ils sont stockés en clair, ou tout comme.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# SFTP
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
FTP c'est mal, tant au niveau de la sécurité que du système à deux connexions. Il faut utiliser SFTP à la place.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.