Все слышали и знают о таком казалось бы замечательном FTP-клиенте, как FileZilla (3.4.0) Решил я копнуть его поглубже, уж очень был интересен тот факт, что все пароли сохранялись уверенно молча, думалось шифрует…
С небес на землю. Благодаря FileMon’у нашел куда это зараза отсохраняет все пассы. У меня в случае установки для текущего пользователя (в XP) все сохранилось тут:
C:\Documents and Settings\Plutonium\Application Data\FileZilla
Любопытны два файла - recentservers.xml и filezilla.xml. В первом мы можем наблюдать стройно разложенные XML-параметры - сервера+пасы, во втором можно найти сервер/пасс к последней сессии. Пример содержания recentservers.xml:
<Server>
<Host>10ballov.ru</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<Logontype>1</Logontype>
<User>u37052</User>
<Pass>3ion3hetic</Pass> <-- FUUUUUUUUUUUUUUUUUUUUU
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
</Server>
Не знаю, удивлятся ли сейчас постоянные пользователи FAILzill’ы но лично я чуть не пролил чай на клаву от увиденного. Что это? Новое поколение уязвимостей?
Но, казалось бы, не все так плохо, ведь есть:
Работает мягко говоря загадочно (по умолчанию отключена кстати). Если воткнуть галку, нажать ОК и выйти из программы, то при следующем запуске галки вновь не будет! Если у вас уже были отсохранены пароли, то включение nopass ничего не сотрет. ПZdts
Вывод: FAILzilla лучший друг троянопейсателя, браво блеать
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
Вывод: FAILzilla лучший друг троянопейсателя, браво блеать
Под линупсов таких проблем нет.
Я вообще написал консольный свой ftp клиент со всеми блекджеками и шлюхами и ниначто не променяю, ибо ничего удобнее моего нету
Неактивен
Мастер пароля или иного ключа у вас не спрашивали, чем они должны шифроваться, по вашему?
Есть такое понятие, статичный ключ, заложенный в код программы.
Babusha, да вот чую, что тоже придется свой фтп в визуалке набросать
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
Мда. А его кто зашифрует?)
толсто же! Мы сейчас о чем говорим? О шифрование на основе пароля-ключа заложенного в код программы или о чем-то другом?
К слову, не шибко надежно, ибо хакЭр может скачать исходник проги и увидеть "случайно" оставленный ключ там. Полагаю, самым надежным был бы метод, запроса рандомной абракадабры-ключа со своего сервера, но для опенсорса это судя по всему слишком сложно
И вообще уважаемый Петрунчик, тему я поднял не из-за того, что программа что-то не шифрует, а потому, что она нихера ни о чем не уведомляет, все в тихую … а-ля догадайся сам. Ну и как предостережение изающим ее.
Редактировался Plutonium (05-04-11 23:04:34)
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
Вы правил-то не нарушайте.
звыняюсь, просто смягчил ник
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
Это не шифрование, я чушь собачья. Потому как Этот ключ всегда можно будет вытащить.
Способов решений таких ситуаций - куча.
Просто правильно плутониум говорит, не надо так тихо и "про себя" такие вещи делать.
Квантовая механика - "малопонятный математический курьёз" (с) msAVA - современный учитель.
Неактивен
Забыл кинуть ссыль на интересности: https://forum.antichat.ru/printthread.ph … ge=1&pp=10
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
И всё равно попадают с троянами! smile
Помойки..
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
Во всяком случае пока попались только пользователи священного вантуза! Линупсоидов сам приподобный Стулман охороняэ!
Неактивен
Линупсоидов сам приподобный Стулман охороняэ!
Не, у нас есть репозитарии где все ментайнеры с паспортными данными.
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
Не, у нас есть репозитарии где все ментайнеры с паспортными данными.
Сейчас тебе расскажут свидетели булмера что в вантузе репохитории первые появились, а тупые фанатики стулмана взяли и украли! А вообще, репозитории лучшее что пока есть.
Редактировался Babusha (06-04-11 00:42:15)
Неактивен
А вообще, репозитории лучшее что пока есть.
Особенно, если репозиторий это весь Интернет! (Windows)
Смысл жизни в том, чтобы найти этот смысл.
Неактивен
Особенно, если репозиторий это весь Интернет! (Windows)
Ой, опять мантры! Но на деле это от помойки и глюков не лечит
Неактивен
Оффтопить прекращаем! А то с петяном общаться в баньку пойдёте.
Гав!
Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер
Неактивен
Ну хранится он в открытую, но при этом на вашем компе, нашли повод шуметь. Только вот никто не вспомнил, что протокол FTP передает пароль в открытом виде:
Так что трояну и иже с ними похуй, что там и как хранится. Все элементарно перехватывается.
"Оно, конечно, можно научить медведя ездить на велосипеде. Да только будет ли медведю от этого польза и удовольствие?" (с) А. и Б. Стругацкие
Неактивен