水無月ばけらのえび日記

Filezillaのアカウント情報は簡単に読める

公開: 2010年2月2日15時35分頃

「FTPクライアントのアカウント情報を盗むマルウェアに注意 (slashdot.jp)」。

FTPクライアントの……と言いつつ、#1711812のコメント (slashdot.jp)周辺を見ると、Filezillaのアカウント情報も取られるらしいですね。Filezillaでのアカウント情報の保存方法は非常に力強い感じで、c:\Documents and Settings\(username)\Application Data\FileZilla\sitemanager.xml にこんな感じで書かれています。

XMLのPass要素の中に、パスワードが難読化も何も無しにそのまんま書いてありますね。まあ、難読化してあれば安全というわけでもないので、これ自体の是非は何とも言えませんが……ともあれ簡単に読めることは間違いありません。

※Filezillaは素のFTP以外にもSFTPやFTPSにも対応していますが、これらを使用していてもアカウントの保存方法は同じです。

だからFilezillaではパスワードを保存しては駄目……という主張もありえるでしょうが、そもそも通信を盗聴するとか、キーロガーでキー入力を読み取るといった手法もあるわけでして。そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

• 「Filezillaのアカウント情報は簡単に読める」へのコメント (6件)

関連する話題: Web / セキュリティ

メールアドレス間違いができないような仕組みが欲しい

公開: 2010年2月2日15時15分頃

「ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。

ともあれ、興味深いのはこの話。

登録時に他人のメールアドレスを設定してしまったためにログインできなくなり、その状態でパスワードリマインダを使ったりしたら……それはまあ、乗っ取られますよね。しかしそもそも、他人のメールアドレスで登録できてしまうのがおかしいような……。

実際、「メールを受け取れるのは本人だけ」という前提でパスワードリマインダの仕組みが設計されているケースは多いでしょう。その場合、メールアドレス間違いは致命的です。存在しないメールアドレスならまだ良いのですが、それが実在すると大変なことになります。

しかし半径5メートル程度に聞いてみたところ、ITunesに関してはこんな話があるようで。

• iTunes登録時に設定していたメールアドレスが間違っているらしく、メールが受け取れない状態になっている
• 確認したら、ドメイン部分がスペルミスしていた
• 修正しようにも、方法が分からない (問い合わせするしかない?)

間違ったメールアドレスで登録できてしまう上に、一度そうなると、簡単には修正できないそうで。

メールアドレスが必須項目であるようなサービスの場合、プロフィールなどを入力させる前にまずメールアドレスだけ入力してもらって、そのメールを受信してからでないと登録できない……というような仕組みにして、メールアドレスの間違いができないようにした方が良いのかもしれませんね。

※しかし、ユーザ登録フローを作り直すのは大変だという理由で「メールアドレス入力欄を2個に増やす」という対応が行われたりするオチが予想されます。:-)

• 「メールアドレス間違いができないような仕組みが欲しい」にコメントを書く

関連する話題: Web / セキュリティ