Filezilla est un cancer dans la sécurité de vos sites internet. Danger !

fredfan

WRInaute accro
Arkhee a dit:
Mouais, là on serait plutôt dans le cas d'un musée, avec un gros brillant au comme clou du spectacle, et des voleurs partout dans le monde qui ont les yeux qui brillent rien que d'y penser.
En général le propriétaire du diamant ne fait pas 100% confiance aux portes blindées et prévoit quelque chose au cas où ça n'ait pas suffi.
Une vitrine blindée, avec le trousseau de clefs accroché à côté, et une chambre d'hôte l'étage au-dessus avec un trou dans le plancher pour mater le code quand le directeur viendra le changer consciencieusement toutes les semaines.
 

Leonick

WRInaute accro
c'est marrant l'évolution de wri : sur un logiciel annexe à la gestion d'un site, on arrive à faire des threads comme il y a quelques mois pour les annuaires et avec les mêmes incompréhensions réciproques :mrgreen:
 

finstreet

WRInaute accro
Leonick a dit:
sinon, une solution un peu plus "secure", consisterait à envoyer ses fichiers en ftp dans une zone hors http, puis ensuite de faire la copie ou l'install en ssh

C'est ce que j'allais dire de façon moins technique. Balancer les modifs vers un serveur totalement inconnu et ensuite le serveur officiel va chercher les infos automatiquement sur ce serveur pour faire la mise à jour, avec interdiction du moindre upload ne provenant pas de ce même serveur.
 

Arkhee

Nouveau WRInaute
Leonick a dit:
sinon, une solution un peu plus "secure", consisterait à envoyer ses fichiers en ftp dans une zone hors http, puis ensuite de faire la copie ou l'install en ssh

J'avais pas percuté ^^ Mais en fait si tu as un accès SSH tu peux copier directement en SFTP ou en SCP dans les dossiers finaux sans utiliser FTP ;) Bon ok ça ne fait pas avancer le schmilblick
 

RiPSO

WRInaute impliqué
Ouaou j'étais pas au courant!! 8O
Par contre RomsIW a raison. Si filezilla est opensource ça ne sert à rien que les mots de passe soient cryptés...

Bon et bien de toute façon perso je n'ai aucun soucis avec filezilla que j'apprécie beaucoup.

Bien le bonjour d'un utilisateur de Filezilla sur linux :lol:
 

salva

WRInaute accro
RIPSO, Linux ou pas si tu as affaire à un spécialiste, ton réseau tombe. Se prémunir efficacement des (vrais) hackers nécessite des moyens considérables.
 

Arkhee

Nouveau WRInaute
Pour revenir sur la synthèse de Loran d'il y a 3 pages :roll:
Bon finalement Filezilla peut être utilisé de manière sécurisée, mais sans utiliser son Site manager (ouah j'ai réinventé le fil à couper le beurre).
Mais quid du Site manager sécurisé ?
J'ai "découvert" hier, merci le forum officiel, un champ supplémentaire dans la config de Keepass. Dans la configuration d'une entrée, aller dans l'onglet "Properties" il y a un champ "Override URL"
Dedans vous mettez :
cmd://"C:\Program Files\FileZilla Client\filezilla.exe" ftp://{USERNAME}:{PASSWORD}@{URL}

Adaptez le chemin de Filezilla selon le dossier d'install.
Sauvez l'entrée, vous pouvez maintenant ouvrir directement Filezilla sur ce FTP en cliquant droit sur l'entrée dans Keepass et en allant dans le menu "URL(s) >> Open URL" ou raccourci CTRL+U
Pour ouvrir directement un dossier distant il suffit de modifier l'URL, par exemple ftp.filezilla.org/www/pub/
Evidemment pour que cette fonction marche il faut que le nom d'utilisateur, le mot de passe et l'URL soient tous trois saisis. Il vaut aussi mieux désactiver toute inscription de tout mot de passe dans les fichiers de Filezilla (cf. leur forum à ce sujet).

Bon maintenant pour peaufiner il faudrait pouvoir passer en ligne de commande à Filezilla le nom du site dans le manager, accompagné du login & user. Mais je doute que cette fonctionnalité soit acceptée par l'équipe 8)
 

aladdin

WRInaute passionné
Le problème n'est pas filezilla, le problème c'est FTP ! vous pouvez blinder la sécurité de votre machine et de filezilla ... celà ne changera rien puisque même votre voisin peut sniffer votre mot de passe FTP ...

la solution : SFTP ou SSH .... voir même un filemanager web sur https ...
 

Arkhee

Nouveau WRInaute
aladdin a dit:
Le problème n'est pas filezilla, le problème c'est FTP ! vous pouvez blinder la sécurité de votre machine et de filezilla ... celà ne changera rien puisque même votre voisin peut sniffer votre mot de passe FTP ...

la solution : SFTP ou SSH .... voir même un filemanager web sur https ...

cf. le tout premier post
1° on n'a pas toujours le choix du mode de connexion, FTP est encore souvent imposé, il faut faire avec, point.
Sauf à choisir ses clients, mais je me vois mal dire "ah non je n'accepte pas votre contrat parce que vous ne voulez/pouvez travailler qu'en FTP".
2° face à un ver : SFTP, FTP et SSH c'est idem si les mots de passe sont stockés en clair sur le disque. Il faut travailler avec des clefs, bloquer l'accès seulement depuis certaines IP etc etc, mais franchement les blocages IP ça n'est pas réaliste en production.
3° mon voisin ne peut pas sniffer mon mot de passe FTP, sauf à hacker mon wifi crypté WPA. Tous les points de routage intermédiaires le peuvent, mais ils sont probablement plus sécurisés que mon windows alors ...

Bref, toujours à la recherche d'un logiciel FTP plus sécurisé ...
 

Arkhee

Nouveau WRInaute
Bon c'est décidé, je vais faire installer la fibre chez moi et j'hébergerai tous mes clients gratos sur mon PC de dev, je ferai mettre des plaques de métal tout autour de mon bureau pour éviter les fuites d'info, 3 climatiseurs, 5 onduleurs, une ligne directe avec les pompiers, un congel pour les pizzas et une tireuse à bière ! (les deux derniers points sont en option)
 

Arkhee

Nouveau WRInaute
c'est vrai qu'à la réflexion :roll:
mais il vaut mieux éviter de confondre les câbles d'alimentation dans ce cas ! PC refroidi à la bière j'aurais du mal à faire passer ça aux clients 8)
 

aladdin

WRInaute passionné
Arkhee a dit:
aladdin a dit:
Le problème n'est pas filezilla, le problème c'est FTP ! vous pouvez blinder la sécurité de votre machine et de filezilla ... celà ne changera rien puisque même votre voisin peut sniffer votre mot de passe FTP ...

la solution : SFTP ou SSH .... voir même un filemanager web sur https ...

cf. le tout premier post
1° on n'a pas toujours le choix du mode de connexion, FTP est encore souvent imposé, il faut faire avec, point.
Sauf à choisir ses clients, mais je me vois mal dire "ah non je n'accepte pas votre contrat parce que vous ne voulez/pouvez travailler qu'en FTP".

Le jours ou le client se fait pirater il demandera des dédommagements ... et il cherchera pas à comprendre ! le client lambda ne fera pas la différence s'il utilise SFTP (même interface client) ... et le client qui s'y connait préfférera certainement SFTP ou SSH donc de ce coté là le problème est réglé
 

RiPSO

WRInaute impliqué
salva a dit:
RIPSO, Linux ou pas si tu as affaire à un spécialiste, ton réseau tombe. Se prémunir efficacement des (vrais) hackers nécessite des moyens considérables.

Un "spécialiste" qui arrive à récup mes mots de passe sur mon linux derriere mon routeur j'aimerai bien voir ça!! (enfin non c'est une facon de parler :D Techniquement ça ne me parrait pas possible)

Il serait plus simple pour lui de s'attaquer directement à mes serveurs je pense :D

J'utilise SFTP donc même si il bosse chez mon FAI et qu'il arrive à sniffer la ligne il devrait pas réussir à récupérer grand chose de chez moi
 

Leonick

WRInaute accro
En clair, vous avez besoin d'un camion blindé pour transporter des informations depuis un entrepôt non (ou mal) sécurisé, pour envoyer dans un autre entrepôt non (ou mal) sécurisé. J'ai bien tout compris :mrgreen:
 

Arkhee

Nouveau WRInaute
Bon blague à part, je suis d'accord qu'utiliser le SFTP est une bonne pratique, QUAND C'EST POSSIBLE.
Mais franchement les cas de vols de mots de passe en raison de l'utilisation de FTP sont rares.
Pourquoi ? Parce qu'en général il s'agit d'actions ciblées, alors que le vol par infection du poste sont des actions larges. Les risques sont beauuuucoup plus importants.

Considérant un réseau de taille limitée, genre une TPE : 5/6 postes, bien protégés.
Considérant qu'ils sont connectés au net par une box, et que leur hébergeur est un gars sérieux qui aime la bière belge (un type bien quoi).

Où se situent les risques de vol de mot de passe par interception ?
- Sur le réseau local : si chaque poste est sécurisé (antivirus etc), une infection peut arriver mais en général ne laisse pas de traces, les risques qu'un sniffer reste actif suffisamment longtemps pour voler un voire plusieurs mots de passe sont très limités
- Sur la box ou les équipements réseau du FAI : ce sont probablement les éléments les plus fiables de la chaine
- Sur le pare-feu ou les équipements de l'hébergeur ? Peut-être, mais étant donné que leur métier est de gérer des serveurs il est plus probable que leurs machines soient propres.
- Sur les machines hébergées dans leur salle blanche ? Peut-être, et c'est probablement là le plus gros risque. Cela dit le risque est probablement limité à la baie (filtrage par les switchs). Et dans le cas d'hébergement mutualisé (qui est le plus enclin à imposer du FTP non sécurisé) je pense que leurs machines sont en général clean, car très surveillées.

Où se situe le risque d'une interception des mots de passe FTP dans ce cas ?
Il reste la possibilité que l'un des intervenants ait placé intentionnellement un sniffer. Si son but était de collecter tous les mots de passe FTP qui passent il risque fort de se faire repérer rapidement. S'il ne voulait que VOTRE code, c'est probablement quelqu'un qui vous connait, et là il serait sans doute arrivé à ses fins, même en FTPS.

Enfin pour conclure, je mets au défi les lecteurs de ce fil de trouver UN SEUL POST en anglais, français (ou autre) dans lequel quelqu'un parle clairement d'un mot de passe FTP qui lui aurait été dérobé purement par sniffing, c'est à dire en capturant les trames IP qui passent, UN SEUL CAS dans lequel aucun ver ou trojan n'ait de responsabilité directe ou indirecte sur son propre réseau local, et où le vol aurait véritablement été réalisé par un tiers.

Je préfère vous avertir par avance, des vols de base de données non cryptée vous allez en trouver beaucoup, beaauuuucoup.

EDIT : ça veut pas dire qu'il ne faut pas utiliser le SFTP hein ! en info le mieux c'est toujours "ceinture + bretelles", quand on peut en tous cas.
 

Leonick

WRInaute accro
j'ai du mal à vous comprendre : il me semble qu'un pc qui accepte qu'une appli inconnue envoie des données en provenance d'un fichier local sur internet accepte aussi, sans problème que cette même appli fasse du keylogging.
 

Arlacais

Nouveau WRInaute
Bonjour,

Pour ceux qui veulent s'amuser avec gumblar, je peux leur
donner l'adresse de quelques sites infectés. 8)
S'ils utilisent Filezilla et que leur mot de passe est enregistré
il y a des fortes "chances" qu'ils se retrouvent avec gumblar
sur leurs sites.

En tous cas, pour moi, mi 2009, j'ai passé 3 semaines sur
mes sites à corriger plus de 200 fichiers index infectés.
Heureusement j'ai pu les corriger directement sur le serveur
en utilisant des commandes Unix et l'éditeur VI
Fichiers qui se sont ré-infectés même après changement
du mot de passe FTP.

Il est impératif dans l'ordre de :
- nettoyer le PC
- installer un anti-virus sur le PC
- supprimer TOTALEMENT Filezilla
- changer le MdP FTP
- ré-installer Filezilla ou autre sans JAMAIS enregistrer le MdP FTP
- nettoyer les fichiers infectés des sites
- sauvegarder les sites

Christian
 

Arkhee

Nouveau WRInaute
Envoie donc quelques liens au dev de Filezilla, on sait jamais, des fois que gumblar fonctionne aussi sous linux :twisted:
Franchement il mériterait bien de se faire faucher quelques mots de passe.

J'essaie tant bien que mal de faire sécuriser directement ou indirectement Filezilla, pour l'instant j'utiliser Keepass avec un paramétrage qui me permet de lui faire appeler FZ avec les bons paramètres (cf post ci-dessus).
 

Leonick

WRInaute accro
Arlacais a dit:
- nettoyer les fichiers infectés des sites
- sauvegarder les sites
pour une bonne sécurisation de sites (même hors virus), la procédure n'est pas vraiment dans ce sens.
- on sauvegarde tout le site distant, histoire de trouver d'où vient la faille
- on supprime tout le site distant
- on upload le site de prod local

et non le contraire
 

RiPSO

WRInaute impliqué
Arlacais a dit:
Il est impératif dans l'ordre de :
- nettoyer le PC
- installer un anti-virus sur le PC
- supprimer TOTALEMENT Filezilla
- changer le MdP FTP
- ré-installer Filezilla ou autre sans JAMAIS enregistrer le MdP FTP
- nettoyer les fichiers infectés des sites
- sauvegarder les sites

...

- Formater son pc
- Installer linux
- Installer Filezilla
- Utiliser SFTP

:mrgreen: :lol:
 

Arkhee

Nouveau WRInaute
la faille qui a permis au ver de voler les données Filezilla existe aussi sous linux, c'est une faille due à des plugins adobe du navigateur.
à part le fait que le ver ne soit pas programmé spécialement pour linux, ce système ne protège pas plus les données de l'utilisateur. FTPS non plus.
juste un coup de bol
 

Arkhee

Nouveau WRInaute
faut-il qu'il s'installe pour faire du mal ?
par ailleurs il peut aussi nicher un fichier avec droits d'exe quelque part (genre /tmp), et modifier le fichier .bashrc de l'utilisateur afin de s'exécuter à chaque lancement de session...
et dommage, pas d'antivirus sous linux pour détecter tout ça.
La solution est simple une fois détecté, changer de compte. Mais d'ici là ...
 

fredfan

WRInaute accro
C'est très théorique la possibilité d'avoir des virus sous linux.
Pratiquement tu as trouvé beaucoup de témoignages de victimes de virus ?
 

spout

WRInaute accro
Arkhee a dit:
par ailleurs il peut aussi nicher un fichier avec droits d'exe quelque part (genre /tmp), et modifier le fichier .bashrc de l'utilisateur afin de s'exécuter à chaque lancement de session...
et dommage, pas d'antivirus sous linux pour détecter tout ça.

Avec chkrootkit et ClamAV, je vois mal comment ça px arriver aussi facilement sous Linux
 

JanoLapin

WRInaute accro
fredfan a dit:
C'est très théorique la possibilité d'avoir des virus sous linux.
Pratiquement tu as trouvé beaucoup de témoignages de victimes de virus ?
justement parce qu'ils sont sous Linux, les victimes de tels avanies se taisent...... :idea:
et c'est pas une blague !
 

Arkhee

Nouveau WRInaute
spout a dit:
Avec chkrootkit et ClamAV, je vois mal comment ça px arriver aussi facilement sous Linux

fredfan a dit:
C'est très théorique la possibilité d'avoir des virus sous linux.
Pratiquement tu as trouvé beaucoup de témoignages de victimes de virus ?

Je ne veux froisser personne, mais les windowsiens ont acquis un certain pragmatisme face aux menaces, dont les linuxiens manquent cruellement.

Clamav, chrootkit, rkhunter etc : à part Clamav dont le but initial est le scan des pièces jointes, tous ces logiciels fonctionnent de manière planifiée ou à la demande, pas en temps réel. Par ailleurs, à part Clamav les autres sont quand même d'un emploi assez complexe, pour un utilisateur lambda. Aux dernières nouvelles, aucun ne fonctionne en temps-réel, pas même ClamAV (pas en natif du moins)
En plus bien que je connaisse plusieurs utilisateurs de linux sur un poste client, je n'en connais aucun qui utilise ces logiciels : tous se sentent en sécurité sous Linux, peut-être trop.

Pour info, quelques liens :
Discussions sur Clamav en temps réel
Faille dans les produits Adobe

Quand une faille existe et est réelle, au vu du nombre de PC dans le monde, son exploitation n'est qu'une question de statistiques. Je peux comprendre les développeurs de vers : quand on a 90 fois plus de chances de toucher un windows qu'un linux (et encore quel linux, tous sont différents), on ne s'emmerde pas avec les minorités. C'est ce qui protège, à priori et pour le moment, les utilisateurs linux. Mais ...
 

RiPSO

WRInaute impliqué
Arkhee a dit:
faut-il qu'il s'installe pour faire du mal ?
par ailleurs il peut aussi nicher un fichier avec droits d'exe quelque part (genre /tmp), et modifier le fichier .bashrc de l'utilisateur afin de s'exécuter à chaque lancement de session...
et dommage, pas d'antivirus sous linux pour détecter tout ça.
La solution est simple une fois détecté, changer de compte. Mais d'ici là ...

J'avoue que ta théorie se tient... surtout qu'ensuite suffit de mettre un keylogger pour aller plus loin, mais là ce serait vraiment une attaque ciblée... Je t'avouerai aussi que je n'ai même pas réfléchi à la question :roll:
Je me suis mis sur Ubuntu sur ma station principale en même temps environ que j'ai acheté un pc portable qui lui est sous windows. Je n'utilise mon pc portable que pour les vacances et j'en ai pas beaucoup, contrairement à ma station que j'utilise 95% de mes journées quand je suis réveillé.
Le résultat : pas un seul soucis avec ma station, par contre sur mon portable, malgré la multitude d'antivirus, antirootkit, anti cheval de troie, anti chépakoikilyatellementdetrucsdifferentskonsaitmemepascequecafaitmaisquonlinstallequandmemepourtester, et bien internet explorer ne se lance meme plus, msn non plus ne daigne plus se lancer, j'ai des ralentissements pas possibles.. etc... Je précise que c'est un windows XP non piraté et à jour dans ses updates, et je précise que je n'ouvre aucune piece jointe executable et que je ne lance rien de suspect (j'ai une longue experience de windows :mrgreen: ).
Je suis malheureusement obligé de garder un pc windows pour faire tourner adobe flash qui bug via wine sous linux mais sinon mouarf j'aurais déjà fais sauter windows :roll:
 

Arkhee

Nouveau WRInaute
rassure moi, c'est quoi la marque de ton PC sous win XP ? 8) (Acer ? HP ? PackardBell ?)

bon ok




===========> [je sors ^^]
 

RiPSO

WRInaute impliqué
Mmm je pense pas avoir cerné la private joke dsl :mrgreen: , mais la marque ne change pas grand chose, le materiel me convient, c'est l'OS qui foire :mrgreen:
pour répondre à ta question c'est un Asus EEEpc 1000HE
 

Arkhee

Nouveau WRInaute
ah tiens j'ai le même ^^ enfin je l'ai refilé à ma femme, je le trouve trop lent. J'ai pris un 1005-PEH depuis, et là ça turbine ! (pour un netbook). A part ça pas de problème ni avec l'un ni avec l'autre (sauf un p'tit ver de temps à autres, hum hum). Je pense qu'il ne faut pas charger la mule, surtout ce genre de machine : firewall de windows + un antivirus simple et rien d'autre. D'expérience à chaque fois que j'ai utilisé des "optimiseurs" de système ça m'a tout flingué.

En fait, et c'est un avis purement personnel, je pense que le matériel de mauvaise qualité est à 90% à l'origine de la réputation d'instabilité de windows. Et encore depuis quelques années le niveau général est fortement remonté, heureusement. Mais certaines idées ont la vie dure. (cela dit eeepc c'est du bon matos je trouve, le 1000HE donne une impression de solidité)
 

RiPSO

WRInaute impliqué
Le 1000HE donne une impression de batterie qui dure dans le temps, c'est exclusivement pour ça que je l'ai acheté :wink: Il me fallait un pc pas cher qui a de l'autonomie et j'en suis parfaitement heureux, par contre si on regarde de plus prêt c'est sur qu'on fera pas tourner un FPS dessus... Par contre pour notepad, wamp et firefox ça suffit largement :)

Pour les problemes hardware je ne suis pas de ton avis. Je ne suis pas à mon premier PC, et actuellement j'ai plusieurs stations, et sur chacune de mes stations j'ai toujours eu des soucis avec windows (ainsi qu'avec les portables de mes parents, de ma femme, et de tout le reste de la famille). Actuellement toutes mes stations sont sous linux et je n'ai plus de soucis... Il y a donc bien un probleme d'OS à mes yeux. Le seul probleme de linux c'est que quand tu dois mettre les mains dedans c'est beaucoup moins évident que windows (d'un autre coté j'ai baigné dans le dos et windows depuis que je suis gamin...) mais à ce jour je n'ai eu qu'un soucis de carte graphique lors d'une mise à jour et à part cela tout roule :)
 

Arkhee

Nouveau WRInaute
Les FPS faut voir, WoW tournait par exemple sur le 1000HE, bon, sans plus hein :-> Par contre en ce moment je joue à Heroes of M&M 5, qui est en 3d : ça tourne, mais faut pas trop dézoomer. Il y a plein de sites qui listent les jeux utilisables, dont pas mal de vieux FPS.

Pour ce qui est des problèmes matériels, j'ai constaté dans mon entourage, au sens large, que les portables ACER avaient tendance à être carrément mois stable ^^ et durer moins longtemps. Pour m'être aussi occupé un peu de l'info de précédentes boites où je suis passé, j'ai clairement vu la différence entre du Gateway et des PC de supermarché (genre Fujitsu etc). Mais c'était il y a quelques années déjà.
Idem à titre perso quand je montais encore des PC, je finissais systématiquement sur une carte-mère ASUS.

Après c'est dur de tirer des conclusions sur sa situation personnelle (échantillon statistique non représentatif :->) mais il y a quand même des marques à éviter je trouve. Eh puis il y a le coup de pas de chance aussi. Avec mes deux portables pro je n'ai pas eu de soucis (ça va faire 7 ans). Juste un passage malheureux sous Vista, mais depuis que je suis sous 7 ça va ^^
 

RiPSO

WRInaute impliqué
Ok mais dans ce cas on parle de défaut hardware et non software. Dans ce cas il suffit de changer l'hardware défectueux et tout repart normalement. Quand le soucis est software ca ne se resoud pas aussi facilement :)

Bref on va arrêter de polluer le topic dans le debat sans fin windows/linux :lol:
 

Jade_

Nouveau WRInaute
Merci à tous !

Suivre vos conseils me permettra de ne pas vivre vos galères : FileZilla n'est plus sur mes PC.

VisitezMonSite a dit:
Pas la peine, j'ai lu les discussions qui datent de plusieurs années, le codeur en chef est un autiste.

Trois ans ont passé, et FileZilla a toujours son problème de MDP en clair !

Les fichiers qu'il est OBLIGATOIRE d'effacer APRÈS déinstallation de FileZilla sont eux aussi effacés :

sitemanager.xml

et

recentservers.xml

~ o 0 | 0 o ~

Je viens de trouver un autre logiciel "FTP Voyager" :

http://www.serv-u.com/ftpvoyager.asp

La démo en ligne est ici (cherchez "FTP Voyager JV") :

http://www.serv-u.com/demo.asp

FTP Voyager gère les transfers FTP, SFTP et FTPS, et surtout les mots de passes sont cryptés dans le fichier "FTPVoyager.Archive" de cette sorte :

Password
1
1
Val
_7756b07fa29bf81c69b8aa00ba47eca2486deda961cdc5325d60d68a5a7d6b6ff80573400bcc658529724ab5b6ecb8ab98bcee0a178aa2ddeee2e27f44bc89c4638048e06ef65c99e19cc93e42310a70f7ff2eff36439f05bb170f8dfebd1ee647ef9cdf0aab9d6142495a22c00914bfe9c6541eb3d5c530
<<- Password

FTP Voyager est un logiciel "Payant Gratuit". Je m'explique :

Le logiciel vous demande un achat, cependant, si vous vous enregistrez, l'utilisation de FTP Voyager est gratuite, la clef d'enregistrement vous est alors envoyée par email.

~ o 0 | 0 o ~

Que pensez-vous de FTP Voyager ?

Est-ce une alternative crédible à FileZilla ?

Merci de vos réactions !


Jade
 

Jade_

Nouveau WRInaute
spout a dit:
@Jade_: teste WinSCP :wink:

Arlacais a dit:
Oui +1 pour WinSCP

Merci !

J'utilise WinSCP, parce que son usage est génial, notamment grâce à la gestion des connexions SSH et à ses possibilités de lancer des commandes Unix, du script shell, etc...

Par contre, WinSCP requiert un bon niveau d'informatique que tout le monde n'a pas...

J'imagine la tête que certains pourraient faire, si je leur disais : OK, il n'y a plus de FileZilla, vous allez maintenant bosser avec PuTTY :cry:

Je grossi le trait pour faire ressortir les angles.

De plus, avec WinSCP, je n'enregistre PAS mes MDP de 32 caractères minimum (paranoid mode on), et je n'ai pas envie de les fournir en clair (notés sur un Post It, collé sur le cadre de l'écran, ou autre astuce) à tout le monde :

Gains de temps de connections pour les utilisateurs lambda. Gains de tranquillité pour moi : À part moi, personne ne les connait, et c'est mieux.

Avec FTP Voyager, pas besoin, ni de retenir de MDP, ni besoin de les crypter : L'enregistrement et le cryptage est fait de base !

De plus, FTP Voyager offre une interface "User Friendly" assez proche de celle des applications classiques de Windows, qui ne devrait pas trop perturber les anciens utilisateurs FileZilla.


JAde
 

spout

WRInaute accro
Oui mais avec WinSCP et la plupart des outils en SSH, tu peux générer une clef publique/privée et ne même plus avoir besoin de login/password
 

Jade_

Nouveau WRInaute
spout a dit:
Oui mais avec WinSCP et la plupart des outils en SSH, tu peux générer une clef publique/privée et ne même plus avoir besoin de login/password

Bah :?

Cela dépasse mes compétences...

Comment faire ?
 

Koxin-L.fr

WRInaute passionné
Lorsque l'on utilise correctement son matériel, et donc avoir un AV à jour, un FW bien configuré, des soft à jour et bien sur ne pas utiliser son PC de travail pour se balader sur le p0rn ou le War3z, y a jamais de soucis.

Ce n’est pas moralisateur, c'est juste des principes simple à avoir.
 

spout

WRInaute accro
Si tu es sur un réseau Wifi/LAN/... ton PC peut être sécurisé au max, FTP passe en clair donc n'importe qui sur le réseau peut le sniffer. La sécurité c'est d'utiliser SSH.
 

mipc

WRInaute accro
et le Sftp c'est quoi, suffit de configurer le serveur, il me semble que SFTP c'est du SSH et Filezilla gère le SFTP, le seul défaut qu'il à c'est de de pas crypté les fichiers qu'il utilise pour garder en mémoire Login et MDP, suffit de ne pas avoir de virus actif sur ses ordinateurs, y a juste de règles de bon sens à respecter en terme de sécurité point.
 

Leonick

WRInaute accro
on en revient à la même chose : il faut sécuriser son pc. Si une appli peut lire le fichier de config filezilla sur son pc, ça veut dire qu'on a une faille, non de filezilla mais de la sécurisation de son pc. Si l'appli peut lire le fichier, on peut donc parfaitement avoir un keylogger d'installé.
2° hypothèse, on passe son ordi à une autre personne et cette personne lit les mdp. Dans ce cas, quelque soit l'os, il suffit de basculer sur un autre compte qui n'aura pas les droits sur ce fichier
filezilla gérant parfaitement le sftp
WinSCP a l'avantage de pouvoir exécuter directement un ordre ou un script via putty ce qui, dans certains cas, peut être très appréciable, du genre on upload un script sql et on peut l'exécuter dans la foulée du téléchargement
 

forummp3

WRInaute passionné
moi j'utilise filezilla depuis longtemps pas de probleme, j'ai eu une fois des sites modifié pour rajouter un code malicieux dans les pages d'accueil, faut c'etait une faille dans plesk.
Mais faut se donner des regles strict pour son pc pro, eviter d'installer n'importe quoi, voir meme avoir un pc pour le travail et un pc pour le diverstissement (ordi portable par exemple), sur l'un on installe le minimum et sur l'autre ce que l'on veut.

Mais là ou fait faire attention, c'est les scripts que l'on utilise et bien sécuriser son serveur, car un serveur dispo 24/7, ça laisse le temps aux hackers de faire des tests (pas ce soucis avec les mutus, suffit de bien choisir l'hebergeur).

Enfin bref là sécu c'est partout, mais la faille en generale c'est l'être humain et non la machine.

c'est un peu comme les mdp sauvegardé dans firefox, si toute la famille a accès au pc, il peut tres bien s'amuser a fouiller volontairement ou pas, ou bien tomber sur un page de l'historique ou le mdp est enregistré (adsense, etc)

edit: sinon, rien ne vous empeche d'installer filezilla sur une partition crypté (truecrypt par exemple)
 

Koxin-L.fr

WRInaute passionné
spout a dit:
Si tu es sur un réseau Wifi/LAN/... ton PC peut être sécurisé au max, FTP passe en clair donc n'importe qui sur le réseau peut le sniffer. La sécurité c'est d'utiliser SSH.
La bonne vielle RJ45.
Y a rien de mieux.
Sécurité, débit et ... repos du cerveau.

Au moins 17 ans sans virus ou trojan sur mes machines, pro ou jeux.
Juste en faisant les choses comme il faut.

ET bien évidement, jamais aucune connexion protégé sur tout autre PC que les miens. Ni chez des amis et encore moins dans un cyber.
 

spout

WRInaute accro
RJ45 aussi (c'est pour ça que j'ai mis LAN). Je sniffais déjà le réseau à l'école qd c'était du BNC/coax :)
 

Koxin-L.fr

WRInaute passionné
Restons sérieux 5mn...
Y a pas tous les jours des gus qui grimpe au poteau Télécom pour brancher leur sniffer...
 

Bool

WRInaute passionné
Pas besoin : il suffit parfois de louer un serveur chez le même fournisseur que toi, à l'autre bout du tuyau. Du vol d'IP chez un hébergeur, j'en ai déjà subit. Et de l'usurpation de session BGP, ça s'est déjà vu également.

Alors oui, utiliser le FTP pour te connecter à ta Freebox n'est pas très risqué, mais en dehors de ça le FTP n'est plus adapté. Il est à ranger dans le placard des protocoles obsolètes, aux cotés de telnet.
 

Jade_

Nouveau WRInaute
Si je résume :

WinSCP + SSH + RJ45 + IP Fixe et privative pour son serveur ou ses sites = Sérénité ?

Pourrait-on rajouter :

Bloquer la WIFI de sa box ?

Bloquer le port 21 de son serveur (celui du FTP) ?

Installer un certificat SSL sur son serveur ou ses sites ?

Quel OS ? Linux (quelle distro) BSD (quelle distro) OSX, Windows ? Autre ?

suEXEC ?

CGIWrap ou php-CGIwrap ?

Si il y a un spécialiste de NIX, pourrait-il nous faire un topo sur les permissions des fichiers ?
 

Discussions similaires

Haut