1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Webspace: Sicherheitsrisiko FTP

Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:06

    Ich sehe den Punkt nicht weshalb bei FTPES ein selbst signiertes Zertifikat ein Problem darstellen soll. Gerade bei FileZilla, insofern die Entwickler Ihren Standpunkt nicht geändert haben, völlig irrelevant, da zu seiner Zeit, egal welche Zertifikatschain ich genutzt hatte, ein Comodo-Zertifikat von FileZilla nicht als vertrauenswürdig akzeptiert wurde. Nachdem ich im Forum nachgelesen hatte stieß ich auf einen Kommentar des Lead-Developers der die Vertrauenswürdigkeit ALLER CAs in Frage stellte und von seinem Standpunkt aus KEIN Zertifikat als sicher einstuft. Da FileZilla sowas wie der Standard ist verstehe ich den Standpunkt bzgl. der selbst signierten Zertifikate nicht.

    FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Eine Zwangsverschlüsselung halte ich für schwer durchsetzbar. Ich arbeite seit 8,5 Jahren in der Branche und mag mir den Supportaufwand dafür gar nicht vorstellen. Ich war schon sehr überrascht als ich davon gelesen haben dass gmx und Co. keinen unverschlüsselten E-Mail-Abruf / Versand mehr erlauben möchten. Dem Durchschnittsbenutzer ist das völlig egal, der ist schwer zu sensibilisieren und ob das Verständnis dafür vorhanden ist steht eh
    nochmals ganz woanders.

    Wir beobachten natürlich auch Zugriffe per FTP durch IPs aus Taiwan, Russland, etc, aber das ist immer noch mehr Ausnahme als Regel. Und wenn dann wurden die Daten vom Client abgegriffen / ausgelesen. Viel häufiger sind veraltete CMS das Einfallstor.

    Der Grundtenor des Artikels ist natürlich völlig richtig. Der Login unserer Verwaltungs, Webmail & WebFTP Schnittstelle ist ausschließlich per HTTPS über sichere Algorithmen erreichbar, FTPES bei jedem Paket aktiv. Ich sehe das als selbstverständlich an.

  2. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: hab (Golem.de) 04.03.14 - 11:20

    Man kann sich über den Sinn von CA-signierten Zertifikaten sicher streiten, ich hab aber ja extra im Artikel geschrieben, dass ich die Details der Verschlüsselung für ein eher kleines Problem halte. Filezilla sehe ich auch sehr kritisch, deshalb möchte ich mich nicht an deren Verhalten orientieren, aber es ist halt, wie Du sagst, "sowas wie der Standard".
    Aber wegen selbstsignierter Zertifikate: Es ist wirklich kein großer Aufwand, sich bei StartSSL ein kostenloses Zertifikat zu holen, da sind selbstsignierte einfach unnötig.

    Zwangsverschlüsselung: Ja, sicher wär das ein hoher Supportaufwand. Ich denke es wär schon ein Anfang wenn die Provider mal ganz fett und deutlich in ihrem Webinterface schreiben: "Unverschlüsseltes FTP ist ein Sicherheitsrisiko. Vermeidet das wenn möglich."

    Dass veraltete CMS-Systeme das größere Problem sind beobachte ich auch (steht ja auch im Artikel), vielleicht interessiert Dich in dem Zusammenhang das Tool freewvs, das ich selbst programmiert habe. Es ist freie Software und man kann damit Webroots auf veraltete Webanwendungen scannen.

  3. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:44

    Ein entsprechender Hinweis ist sicher angebracht, das stimmt. Ich werde das Thema mal ein einem unserer nächsten Newsletter behandeln, mal sehen ob es dazu Resonanz oder ein geändertes Nutzerverhalten gibt. Bei meinen bisherigen Erfahrungen kann ich es mir fast nicht vorstellen :/

    Ich stelle mir gerade vor wie Kunden gegen einen zwangsverschlüsselten FTP-Zugang protestieren die Software von vor 10 Jahre einsetzen, unbedingt darauf angewiesen sind und auf gar keinen Fall iwas umstellen können. Das sind die selben die noch PHP 4.4.3 nutzen möchten -_- Und dort liegt imho das eigentliche Problem .. aber das wird zu tiefgreifend und grundsätzlich ;)

    Das Tool schau ich mir mal an, danke für den Hinweis und den Artikel :) Hoffentlich erreicht er ein paar Nutzer die sich Gedanken dazu machen.



    1 mal bearbeitet, zuletzt am 04.03.14 11:47 durch ehwat.

  4. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: violator 04.03.14 - 13:08

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD

    Wo da genau?

  5. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: RipClaw 04.03.14 - 23:48

    violator schrieb:
    --------------------------------------------------------------------------------
    > ehwat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > FileZilla an sich, was soll man noch sagen .. Zugangsdaten
    > unverschlüsselt
    > > auf der HDD
    >
    > Wo da genau?

    Unter Linux ist es unter $HOME/.filezilla/sitemanager.xml

    Unter Windows dürfte es unter C:\Documents and Settings\[Benutzername]\Application Data\FileZilla\sitemanager.xml sein.
    Kommt aber auf die Version Version an.

  6. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 00:03

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Sofern ich mich nicht irre muss man bei FileZilla mittlerweile eine Option aktivieren, um Passwörter speichern zu können.
    AFAIK hieß damals das Argument gegen Verschlüsselung der Password-Files, dass dies bei OSS nix bringe. Ich würde ja wenigstens eine Verschlüsselung mit Masterpassword anpeilen.

    Viel mehr nervt mich bei FileZilla momentan, dass ich für SFTP keine Keys mit Passphrase nutzen kann. Kennt da wer eine gute Alternative?

  7. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 05.03.14 - 08:32

    Key in pageant mal geladen? Damit hatte ich noch nie Probleme.

  8. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 14:00

    Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen gleichzeitig. FileZilla kann ja mittlerweile selber die Verbindung mittles Keys herstellen, supportet aber keine Passphrase.

    Winscp allerdings schon.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager (m/w/d) im technischen Produktmanagement
    CCV GmbH, Au in der Hallertau
  2. Business Intelligence (BI) / Data Analytics Specialist (m/w/d)
    Börse Stuttgart GmbH, Stuttgart
  3. Software Engineer WebServices (m/w/d)
    Allianz Technology SE, Unterföhring (bei München)
  4. Fachinformatiker (m/w/d) für Systemintegration
    TGW Robotics GmbH, Stephanskirchen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de