FileZillaを使用する必要がありますか?
最近、FileZillaからの移行を勧める人が増えています。ただし、これを確認できる唯一の理由は、FileZillaが接続情報を完全に暗号化されていない形式で保存していることですが、Mozillaが言うように、構成ファイルを保護するのはオペレーティングシステムの仕事です。
それで、FileZillaで問題が発生したことがないので、FileZillaを使用しない理由は他にありますか?誰かが私にそれが機能する方法は安全ではないことを言ったが、私は彼らがとにかくFTPがプレーンテキストでパスワードを送信するという事実について混乱していると思う。
FileZilla自体は本質的に安全ではありません。はい、それはプレーンテキストでパスワードを保存していますが、代替手段は少しだけ安全です。ご覧のとおり、資格情報の暗号化には、どこかに保存する必要がある暗号化キーが必要です。マルウェアがユーザーアカウントで実行されている場合、それらはあなた(または同じレベルで実行されている他のアプリケーション)が持っているものにアクセスできます。つまり、暗号化キーまたは暗号化キーを暗号化するキーなどにもアクセスできます。
ここでの最良のオプションは、FileZillaでパスワードの保存を無効にすることです
次に KeePass を使用してアカウントの資格情報を保存します。多くの KeePassをFileZillaと統合する方法についてのインターネット上のガイド もあります。これにより、マルウェアがアクセスできない場所に暗号化キーを保存します。暗号化キー(または、暗号化キーの派生元のパスワード)を脳に保存しています。
最後に(そしておそらくこれはあなたの質問の範囲外です)、FTPから [〜#〜] sftp [〜#〜] を選んでください。
代替手段にパスワード(IPと資格情報を含む設定の暗号化に使用される)を提供する必要があるオプションがない限り、移行する必要がある理由はわかりません。
あるアプリケーションから別のアプリケーションに移行する場合は、why(詳細)新しいアプリケーションが前のアプリケーションよりも優れていることを確認する必要があります。
私が人々がFilezillaから離れることを勧める主な理由の1つは、パスワードがプレーンテキストとして保存されているため、簡単に盗まれるという事実だと思います。 Filezillaの悪い評判は、いくつかのマルウェアが特にFilezillaをターゲットにし始めた数年前に始まりました。これらのマルウェアは、サードパーティソフトウェア(つまり、フラッシュやアクロバットリーダー)の重大な欠陥を利用して、Filezillaがパスワードを保存するために使用するXMLパスワードファイルを盗むことができました。ほとんどの場合、これらのマルウェアは数秒で根絶され、駆除されましたが、データは盗まれました。これらの盗まれた認証情報ファイルは、ファイルに含まれるすべてのFTPに接続された非常に複雑なボットゾンビネットワークで処理され、スキャンされた後、これらのFTPで見つかったすべてのindex.html/phpファイルでマルウェアを伝播しました。 2時間以内に、filezillaに保存されているすべてのftpウェブサイトが感染しました。現時点では、このプロセスは一部の被害者のウェブマスターによって十分に文書化されています。
このため、おそらく数千のWebマスター、数万のWebサイトが感染しました。多くの人がパスワードが暗号化されていないという事実について不満を述べました。
Filezillaから離れることを勧める2番目の理由は、開発者チームの反応です。この機能を追加する代わりに、彼らはすべての議論を拒否し、責任が不十分に保護されたシステムに責任を返すか、パスワードを暗号化しても何も変更されないふりをしています。データを保護するのはシステムの責任でした。
したがって、現時点では、Filezilla(これは優れたftpクライアントです)を使用したい場合は、すべてのパスワード保存オプションを無効にし、Keepassなどのサードパーティツールを使用することを検討する必要があります。 *は少し面倒ですが、安全です。 Keepassには、クロスプロトコル認証情報をより安全な方法で一元化するためのツールがあるため、さらに有利になる場合があります。
FileZillaには現在マルウェアが含まれており、開発者はそれを認識しており、おそらくそれからお金を稼いでいます。
GoogleでFileZilla Premieropinionを検索するか、Filezillaのフォーラムで多数のスレッドを読んでください。
https://forum.filezilla-project.org/viewtopic.php?t=31967&start=
https://forum.filezilla-project.org/viewtopic.php?t=3024
開発者はあなたがオプトアウトするオプションがあると言い続けますが、インストーラーは明らかに人々を誤解させるように設計されています。私はテクノロジー業界で働いており(そのため、一般にセキュリティの問題を認識しています)、他の数えきれないほど騙されました。また、Macでのマルウェアの最初の体験でもありました。
FileZillaを再び使用することはありません。 「オプトアウト」できる場合でも、これは明らかにユーザーをだますために設計されており、最悪の場合、開発者はFileZillaのフォーラムに不正な返信をコピーして貼り付けるだけです。そのため、たとえソフトウェアが機能しても、開発者の態度を受け入れることは決してありません。問題はあなたの作品を収益化することではありません。問題はユーザーをだますことです。
パスワードがプレーンテキストで保存されるというAdiによる問題については、バージョン3.26.0-rc1(2017-05-25)以降、FileZillaがマスターパスワードで保護された暗号化パスワードをサポートしていることを知っておくとよいでしょう。したがって、FileZillaが他のFTPクライアントよりも安全性が低いと言う理由はありません。
開発日記エントリ を参照してください。
その設定を変更するには:編集>設定>パスワード> ...
彼らは最近、ダウンロードにマルウェアをバンドルすることを開始し、開発者の1人が人々に本当の悪い態度を与えており、マルウェアではないと物事を主張しているため、一度インストールしないことを選択できるように失敗するという彼の決定ではない可能性があります。まず、マルウェアを含むインストーラーをインストールします。
https://forum.filezilla-project.org/viewtopic.php?t=3024
それはプレーンテキストで保存されたパスワードである可能性がありますが、インストーラーにマルウェアをバンドルし、すべてのパスワードをクイックコネクトバーでうまく機能させないオプションを追加したり、最近の態度が悪かったりするので、セキュリティの群衆にとってこれが大きな問題であることは間違いありません。これらの最近のような変更について不満を述べようとしている人々。マルウェアに満ちたインストーラーをダウンロードしたら、何をしているのかわかっていれば、いつでもマルウェアのインストールオプションをオプトアウトできるという態度のようです。
ポータブルバージョン3.16.1を使用していますが、パスワードは暗号化されています。データファイルが通常とは異なるディレクトリ(例:ポータブルディスク)にあり、すべてのパスワードが暗号化されていれば、十分安全です。