FAILzilla

Plutonium · 05-04-11 22:05:59

Все слышали и знают о таком казалось бы замечательном FTP-клиенте, как FileZilla (3.4.0) Решил я копнуть его поглубже, уж очень был интересен тот факт, что все пароли сохранялись уверенно молча, думалось шифрует…

С небес на землю. Благодаря FileMon’у нашел куда это зараза отсохраняет все пассы. У меня в случае установки для текущего пользователя (в XP) все сохранилось тут:

C:\Documents and Settings\Plutonium\Application Data\FileZilla

Любопытны два файла - recentservers.xml и filezilla.xml. В первом мы можем наблюдать стройно разложенные XML-параметры - сервера+пасы, во втором можно найти сервер/пасс к последней сессии. Пример содержания recentservers.xml:

<Server>
<Host>10ballov.ru</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<Logontype>1</Logontype>
<User>u37052</User>
<Pass>3ion3hetic</Pass>    <-- FUUUUUUUUUUUUUUUUUUUUU
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
</Server>

Не знаю, удивлятся ли сейчас постоянные пользователи FAILzill’ы но лично я чуть не пролил чай на клаву от увиденного. Что это? Новое поколение уязвимостей?

Но, казалось бы, не все так плохо, ведь есть:

Работает мягко говоря загадочно (по умолчанию отключена кстати). Если воткнуть галку, нажать ОК и выйти из программы, то при следующем запуске галки вновь не будет! Если у вас уже были отсохранены пароли, то включение nopass ничего не сотрет. ПZdts

Вывод: FAILzilla лучший друг троянопейсателя, браво блеать

Babusha · 05-04-11 22:13:00

Plutonium пишет:

Вывод: FAILzilla лучший друг троянопейсателя, браво блеать

Под линупсов таких проблем нет.

Я вообще написал консольный свой ftp клиент со всеми блекджеками и шлюхами и ниначто не променяю, ибо ничего удобнее моего нету smile

Plutonium · 05-04-11 22:40:03

petrun пишет:

Мастер пароля или иного ключа у вас не спрашивали, чем они должны шифроваться, по вашему?

Есть такое понятие, статичный ключ, заложенный в код программы.

Babusha, да вот чую, что тоже придется свой фтп в визуалке набросать neutral

Plutonium · 05-04-11 22:58:40

petrun пишет:

Мда. А его кто зашифрует?)

толсто же! Мы сейчас о чем говорим? О шифрование на основе пароля-ключа заложенного в код программы или о чем-то другом?

К слову, не шибко надежно, ибо хакЭр может скачать исходник проги и увидеть "случайно" оставленный ключ там. Полагаю, самым надежным был бы метод, запроса рандомной абракадабры-ключа со своего сервера, но для опенсорса это судя по всему слишком сложно lol

И вообще уважаемый Петрунчик, тему я поднял не из-за того, что программа что-то не шифрует, а потому, что она нихера ни о чем не уведомляет, все в тихую … а-ля догадайся сам. Ну и как предостережение изающим ее. wink

Редактировался Plutonium (05-04-11 23:04:34)

Plutonium · 05-04-11 23:05:38

petrun пишет:

Вы правил-то не нарушайте.

звыняюсь, просто смягчил ник smile

Tiphon · 05-04-11 23:07:01

petrun пишет:

Это не шифрование, я чушь собачья. Потому как Этот ключ всегда можно будет вытащить.

Способов решений таких ситуаций - куча.

Просто правильно плутониум говорит, не надо так тихо и "про себя" такие вещи делать.

Plutonium · 05-04-11 23:15:00

Забыл кинуть ссыль на интересности: https://forum.antichat.ru/printthread.ph … ge=1&pp=10

Гареев Станислав · 06-04-11 00:06:59

Svart Testare пишет:

И всё равно попадают с троянами! smile

Помойки..

Babusha · 06-04-11 00:11:20

Во всяком случае пока попались только пользователи священного вантуза! Линупсоидов сам приподобный Стулман охороняэ!

Гареев Станислав · 06-04-11 00:29:37

Babusha пишет:

Линупсоидов сам приподобный Стулман охороняэ!

Не, у нас есть репозитарии где все ментайнеры с паспортными данными.

Babusha · 06-04-11 00:41:23

Гареев Станислав пишет:

Не, у нас есть репозитарии где все ментайнеры с паспортными данными.

Сейчас тебе расскажут свидетели булмера что в вантузе репохитории первые появились, а тупые фанатики стулмана взяли и украли! А вообще, репозитории лучшее что пока есть.

Редактировался Babusha (06-04-11 00:42:15)

Plutonium · 06-04-11 00:46:43

Babusha пишет:

А вообще, репозитории лучшее что пока есть.

Особенно, если репозиторий это весь Интернет! (Windows) tongue

Babusha · 06-04-11 00:51:43

Plutonium пишет:

Особенно, если репозиторий это весь Интернет! (Windows)

Ой, опять мантры! Но на деле это от помойки и глюков не лечит lol

Гареев Станислав · 06-04-11 01:05:00

Svart Testare пишет:

Оффтопить прекращаем! А то с петяном общаться в баньку пойдёте.

Гав!

big_smile

IvanOFF · 06-04-11 01:26:43

Ну хранится он в открытую, но при этом на вашем компе, нашли повод шуметь. Только вот никто не вспомнил, что протокол FTP передает пароль в открытом виде:

Так что трояну и иже с ними похуй, что там и как хранится. Все элементарно перехватывается.

Форум StopLinux

Объявление

#1 05-04-11 22:05:59

FAILzilla

#2 05-04-11 22:13:00

Re: FAILzilla

#3 05-04-11 22:40:03

Re: FAILzilla

#4 05-04-11 22:58:40

Re: FAILzilla

#5 05-04-11 23:05:38

Re: FAILzilla

#6 05-04-11 23:07:01

Re: FAILzilla

#7 05-04-11 23:15:00

Re: FAILzilla

#8 06-04-11 00:06:59

Re: FAILzilla

#9 06-04-11 00:11:20

Re: FAILzilla

#10 06-04-11 00:29:37

Re: FAILzilla

#11 06-04-11 00:41:23

Re: FAILzilla

#12 06-04-11 00:46:43

Re: FAILzilla

#13 06-04-11 00:51:43

Re: FAILzilla

#14 06-04-11 01:05:00

Re: FAILzilla

#15 06-04-11 01:26:43

Re: FAILzilla

Подвал форума