水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Filezillaのアカウント情報は簡単に読める

Filezillaのアカウント情報は簡単に読める

2010年2月1日(月曜日)

Filezillaのアカウント情報は簡単に読める

公開: 2010年2月2日15時35分頃

FTPクライアントのアカウント情報を盗むマルウェアに注意 (slashdot.jp)」。

FTPクライアントの……と言いつつ、#1711812のコメント (slashdot.jp)周辺を見ると、Filezillaのアカウント情報も取られるらしいですね。Filezillaでのアカウント情報の保存方法は非常に力強い感じで、c:\Documents and Settings\(username)\Application Data\FileZilla\sitemanager.xml にこんな感じで書かれています。

<Server>
<Host>bakera.jp</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>testid</User>
<Pass>testpass</Pass>
……
</Server>

XMLのPass要素の中に、パスワードが難読化も何も無しにそのまんま書いてありますね。まあ、難読化してあれば安全というわけでもないので、これ自体の是非は何とも言えませんが……ともあれ簡単に読めることは間違いありません。

※Filezillaは素のFTP以外にもSFTPやFTPSにも対応していますが、これらを使用していてもアカウントの保存方法は同じです。

だからFilezillaではパスワードを保存しては駄目……という主張もありえるでしょうが、そもそも通信を盗聴するとか、キーロガーでキー入力を読み取るといった手法もあるわけでして。そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

関連する話題: Web / セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト