水無月ばけらのえび日記

Filezillaのアカウント情報は簡単に読める

公開: 2010年2月2日15時35分頃

「FTPクライアントのアカウント情報を盗むマルウェアに注意 (slashdot.jp)」。

FTPクライアントの……と言いつつ、#1711812のコメント (slashdot.jp)周辺を見ると、Filezillaのアカウント情報も取られるらしいですね。Filezillaでのアカウント情報の保存方法は非常に力強い感じで、c:\Documents and Settings\(username)\Application Data\FileZilla\sitemanager.xml にこんな感じで書かれています。

XMLのPass要素の中に、パスワードが難読化も何も無しにそのまんま書いてありますね。まあ、難読化してあれば安全というわけでもないので、これ自体の是非は何とも言えませんが……ともあれ簡単に読めることは間違いありません。

※Filezillaは素のFTP以外にもSFTPやFTPSにも対応していますが、これらを使用していてもアカウントの保存方法は同じです。

だからFilezillaではパスワードを保存しては駄目……という主張もありえるでしょうが、そもそも通信を盗聴するとか、キーロガーでキー入力を読み取るといった手法もあるわけでして。そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

• 「Filezillaのアカウント情報は簡単に読める」へのコメント (6件)

関連する話題: Web / セキュリティ