Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webspace: Sicherheitsrisiko FTP

Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

  1. Thema

Neues Thema Ansicht wechseln


  1. Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:06

    Ich sehe den Punkt nicht weshalb bei FTPES ein selbst signiertes Zertifikat ein Problem darstellen soll. Gerade bei FileZilla, insofern die Entwickler Ihren Standpunkt nicht geändert haben, völlig irrelevant, da zu seiner Zeit, egal welche Zertifikatschain ich genutzt hatte, ein Comodo-Zertifikat von FileZilla nicht als vertrauenswürdig akzeptiert wurde. Nachdem ich im Forum nachgelesen hatte stieß ich auf einen Kommentar des Lead-Developers der die Vertrauenswürdigkeit ALLER CAs in Frage stellte und von seinem Standpunkt aus KEIN Zertifikat als sicher einstuft. Da FileZilla sowas wie der Standard ist verstehe ich den Standpunkt bzgl. der selbst signierten Zertifikate nicht.

    FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Eine Zwangsverschlüsselung halte ich für schwer durchsetzbar. Ich arbeite seit 8,5 Jahren in der Branche und mag mir den Supportaufwand dafür gar nicht vorstellen. Ich war schon sehr überrascht als ich davon gelesen haben dass gmx und Co. keinen unverschlüsselten E-Mail-Abruf / Versand mehr erlauben möchten. Dem Durchschnittsbenutzer ist das völlig egal, der ist schwer zu sensibilisieren und ob das Verständnis dafür vorhanden ist steht eh
    nochmals ganz woanders.

    Wir beobachten natürlich auch Zugriffe per FTP durch IPs aus Taiwan, Russland, etc, aber das ist immer noch mehr Ausnahme als Regel. Und wenn dann wurden die Daten vom Client abgegriffen / ausgelesen. Viel häufiger sind veraltete CMS das Einfallstor.

    Der Grundtenor des Artikels ist natürlich völlig richtig. Der Login unserer Verwaltungs, Webmail & WebFTP Schnittstelle ist ausschließlich per HTTPS über sichere Algorithmen erreichbar, FTPES bei jedem Paket aktiv. Ich sehe das als selbstverständlich an.

  2. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: hannob (golem.de) 04.03.14 - 11:20

    Man kann sich über den Sinn von CA-signierten Zertifikaten sicher streiten, ich hab aber ja extra im Artikel geschrieben, dass ich die Details der Verschlüsselung für ein eher kleines Problem halte. Filezilla sehe ich auch sehr kritisch, deshalb möchte ich mich nicht an deren Verhalten orientieren, aber es ist halt, wie Du sagst, "sowas wie der Standard".
    Aber wegen selbstsignierter Zertifikate: Es ist wirklich kein großer Aufwand, sich bei StartSSL ein kostenloses Zertifikat zu holen, da sind selbstsignierte einfach unnötig.

    Zwangsverschlüsselung: Ja, sicher wär das ein hoher Supportaufwand. Ich denke es wär schon ein Anfang wenn die Provider mal ganz fett und deutlich in ihrem Webinterface schreiben: "Unverschlüsseltes FTP ist ein Sicherheitsrisiko. Vermeidet das wenn möglich."

    Dass veraltete CMS-Systeme das größere Problem sind beobachte ich auch (steht ja auch im Artikel), vielleicht interessiert Dich in dem Zusammenhang das Tool freewvs, das ich selbst programmiert habe. Es ist freie Software und man kann damit Webroots auf veraltete Webanwendungen scannen.

  3. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:44

    Ein entsprechender Hinweis ist sicher angebracht, das stimmt. Ich werde das Thema mal ein einem unserer nächsten Newsletter behandeln, mal sehen ob es dazu Resonanz oder ein geändertes Nutzerverhalten gibt. Bei meinen bisherigen Erfahrungen kann ich es mir fast nicht vorstellen :/

    Ich stelle mir gerade vor wie Kunden gegen einen zwangsverschlüsselten FTP-Zugang protestieren die Software von vor 10 Jahre einsetzen, unbedingt darauf angewiesen sind und auf gar keinen Fall iwas umstellen können. Das sind die selben die noch PHP 4.4.3 nutzen möchten -_- Und dort liegt imho das eigentliche Problem .. aber das wird zu tiefgreifend und grundsätzlich ;)

    Das Tool schau ich mir mal an, danke für den Hinweis und den Artikel :) Hoffentlich erreicht er ein paar Nutzer die sich Gedanken dazu machen.



    1 mal bearbeitet, zuletzt am 04.03.14 11:47 durch ehwat.

  4. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: violator 04.03.14 - 13:08

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD

    Wo da genau?

  5. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: RipClaw 04.03.14 - 23:48

    violator schrieb:
    --------------------------------------------------------------------------------
    > ehwat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > FileZilla an sich, was soll man noch sagen .. Zugangsdaten
    > unverschlüsselt
    > > auf der HDD
    >
    > Wo da genau?

    Unter Linux ist es unter $HOME/.filezilla/sitemanager.xml

    Unter Windows dürfte es unter C:\Documents and Settings\[Benutzername]\Application Data\FileZilla\sitemanager.xml sein.
    Kommt aber auf die Version Version an.

  6. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 00:03

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Sofern ich mich nicht irre muss man bei FileZilla mittlerweile eine Option aktivieren, um Passwörter speichern zu können.
    AFAIK hieß damals das Argument gegen Verschlüsselung der Password-Files, dass dies bei OSS nix bringe. Ich würde ja wenigstens eine Verschlüsselung mit Masterpassword anpeilen.

    Viel mehr nervt mich bei FileZilla momentan, dass ich für SFTP keine Keys mit Passphrase nutzen kann. Kennt da wer eine gute Alternative?

  7. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 05.03.14 - 08:32

    Key in pageant mal geladen? Damit hatte ich noch nie Probleme.

  8. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 14:00

    Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen gleichzeitig. FileZilla kann ja mittlerweile selber die Verbindung mittles Keys herstellen, supportet aber keine Passphrase.

    Winscp allerdings schon.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ivv GmbH, Hannover
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München
  3. Allianz Deutschland AG, München-Unterföhring
  4. Zentralinstitut für die kassenärztliche Versorgung in der Bundesrepublik Deutschland, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 349,00€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 274,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

  1. Lumi: Pampers kündigt Smart-Windel an
    Lumi
    Pampers kündigt Smart-Windel an

    Die Lumi von Pampers ist ein vernetztes System für Babys und ihre Eltern, die damit ihren Nachwuchs rund um die Uhr überwachen können. Die Windel enthält einen Feuchtigkeits- und Bewegungssensor, dazu kommen eine App und eine Full-HD-Babycam.

  2. WatchOS 5.3: Apple reaktiviert abgeschaltete Walkie-Talkie-Funktion
    WatchOS 5.3
    Apple reaktiviert abgeschaltete Walkie-Talkie-Funktion

    Apple hat die wegen einer Sicherheitslücke vorübergehend abgeschaltete Walkie-Talkie-Funktion auf der Apple Watch mit WatchOS 5.3 wieder aktiviert.

  3. Digitale Souveränität: Bundesregierung treibt den Aufbau einer Europa-Cloud voran
    Digitale Souveränität
    Bundesregierung treibt den Aufbau einer Europa-Cloud voran

    Aus Angst vor Industriespionage will die Bundesregierung eine Europa-Cloud - in Abgrenzung zu Anbietern wie Amazon, Microsoft und Google, die nach dem CLOUD-Act, den US-Behörden weitreichende Zugriffe auf die Daten geben müssen, auch wenn sie nicht in den USA gespeichert sind.


  1. 08:29

  2. 08:15

  3. 21:15

  4. 20:44

  5. 18:30

  6. 18:00

  7. 16:19

  8. 15:42