Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webspace: Sicherheitsrisiko FTP

Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

  1. Thema

Neues Thema Ansicht wechseln


  1. Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:06

    Ich sehe den Punkt nicht weshalb bei FTPES ein selbst signiertes Zertifikat ein Problem darstellen soll. Gerade bei FileZilla, insofern die Entwickler Ihren Standpunkt nicht geändert haben, völlig irrelevant, da zu seiner Zeit, egal welche Zertifikatschain ich genutzt hatte, ein Comodo-Zertifikat von FileZilla nicht als vertrauenswürdig akzeptiert wurde. Nachdem ich im Forum nachgelesen hatte stieß ich auf einen Kommentar des Lead-Developers der die Vertrauenswürdigkeit ALLER CAs in Frage stellte und von seinem Standpunkt aus KEIN Zertifikat als sicher einstuft. Da FileZilla sowas wie der Standard ist verstehe ich den Standpunkt bzgl. der selbst signierten Zertifikate nicht.

    FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Eine Zwangsverschlüsselung halte ich für schwer durchsetzbar. Ich arbeite seit 8,5 Jahren in der Branche und mag mir den Supportaufwand dafür gar nicht vorstellen. Ich war schon sehr überrascht als ich davon gelesen haben dass gmx und Co. keinen unverschlüsselten E-Mail-Abruf / Versand mehr erlauben möchten. Dem Durchschnittsbenutzer ist das völlig egal, der ist schwer zu sensibilisieren und ob das Verständnis dafür vorhanden ist steht eh
    nochmals ganz woanders.

    Wir beobachten natürlich auch Zugriffe per FTP durch IPs aus Taiwan, Russland, etc, aber das ist immer noch mehr Ausnahme als Regel. Und wenn dann wurden die Daten vom Client abgegriffen / ausgelesen. Viel häufiger sind veraltete CMS das Einfallstor.

    Der Grundtenor des Artikels ist natürlich völlig richtig. Der Login unserer Verwaltungs, Webmail & WebFTP Schnittstelle ist ausschließlich per HTTPS über sichere Algorithmen erreichbar, FTPES bei jedem Paket aktiv. Ich sehe das als selbstverständlich an.

  2. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: hannob (golem.de) 04.03.14 - 11:20

    Man kann sich über den Sinn von CA-signierten Zertifikaten sicher streiten, ich hab aber ja extra im Artikel geschrieben, dass ich die Details der Verschlüsselung für ein eher kleines Problem halte. Filezilla sehe ich auch sehr kritisch, deshalb möchte ich mich nicht an deren Verhalten orientieren, aber es ist halt, wie Du sagst, "sowas wie der Standard".
    Aber wegen selbstsignierter Zertifikate: Es ist wirklich kein großer Aufwand, sich bei StartSSL ein kostenloses Zertifikat zu holen, da sind selbstsignierte einfach unnötig.

    Zwangsverschlüsselung: Ja, sicher wär das ein hoher Supportaufwand. Ich denke es wär schon ein Anfang wenn die Provider mal ganz fett und deutlich in ihrem Webinterface schreiben: "Unverschlüsseltes FTP ist ein Sicherheitsrisiko. Vermeidet das wenn möglich."

    Dass veraltete CMS-Systeme das größere Problem sind beobachte ich auch (steht ja auch im Artikel), vielleicht interessiert Dich in dem Zusammenhang das Tool freewvs, das ich selbst programmiert habe. Es ist freie Software und man kann damit Webroots auf veraltete Webanwendungen scannen.

  3. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 04.03.14 - 11:44

    Ein entsprechender Hinweis ist sicher angebracht, das stimmt. Ich werde das Thema mal ein einem unserer nächsten Newsletter behandeln, mal sehen ob es dazu Resonanz oder ein geändertes Nutzerverhalten gibt. Bei meinen bisherigen Erfahrungen kann ich es mir fast nicht vorstellen :/

    Ich stelle mir gerade vor wie Kunden gegen einen zwangsverschlüsselten FTP-Zugang protestieren die Software von vor 10 Jahre einsetzen, unbedingt darauf angewiesen sind und auf gar keinen Fall iwas umstellen können. Das sind die selben die noch PHP 4.4.3 nutzen möchten -_- Und dort liegt imho das eigentliche Problem .. aber das wird zu tiefgreifend und grundsätzlich ;)

    Das Tool schau ich mir mal an, danke für den Hinweis und den Artikel :) Hoffentlich erreicht er ein paar Nutzer die sich Gedanken dazu machen.



    1 mal bearbeitet, zuletzt am 04.03.14 11:47 durch ehwat.

  4. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: violator 04.03.14 - 13:08

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD

    Wo da genau?

  5. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: RipClaw 04.03.14 - 23:48

    violator schrieb:
    --------------------------------------------------------------------------------
    > ehwat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > FileZilla an sich, was soll man noch sagen .. Zugangsdaten
    > unverschlüsselt
    > > auf der HDD
    >
    > Wo da genau?

    Unter Linux ist es unter $HOME/.filezilla/sitemanager.xml

    Unter Windows dürfte es unter C:\Documents and Settings\[Benutzername]\Application Data\FileZilla\sitemanager.xml sein.
    Kommt aber auf die Version Version an.

  6. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 00:03

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > FileZilla an sich, was soll man noch sagen .. Zugangsdaten unverschlüsselt
    > auf der HDD, dazu die trojanisierte Version die im Umlauf ist. Schwierig.

    Sofern ich mich nicht irre muss man bei FileZilla mittlerweile eine Option aktivieren, um Passwörter speichern zu können.
    AFAIK hieß damals das Argument gegen Verschlüsselung der Password-Files, dass dies bei OSS nix bringe. Ich würde ja wenigstens eine Verschlüsselung mit Masterpassword anpeilen.

    Viel mehr nervt mich bei FileZilla momentan, dass ich für SFTP keine Keys mit Passphrase nutzen kann. Kennt da wer eine gute Alternative?

  7. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: ehwat 05.03.14 - 08:32

    Key in pageant mal geladen? Damit hatte ich noch nie Probleme.

  8. Re: Selbst signierte Zertifikate, FileZilla und der Durchschnittbenutzer

    Autor: redmord 05.03.14 - 14:00

    Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen gleichzeitig. FileZilla kann ja mittlerweile selber die Verbindung mittles Keys herstellen, supportet aber keine Passphrase.

    Winscp allerdings schon.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. Allianz Deutschland AG, Stuttgart
  3. Siltronic AG, Freiberg
  4. BOS GmbH & Co. KG, Ostfildern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 344,00€
  3. mit Gutschein: NBBGRATISH10


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

  1. Routerfreiheit: Vodafone will noch keine eigenen Glasfasermodems zulassen
    Routerfreiheit
    Vodafone will noch keine eigenen Glasfasermodems zulassen

    Vodafone streitet sich mit der Bundesnetzagentur, ob die Routerfreiheit in Glasfasernetzen auch für das Glasfasermodem (ONT) gilt. Ein Nutzer argumentiert dagegen, das öffentliche Glasfasernetz ende an der Glasfaser-Teilnehmeranschlussdose, wo man als Endkunde sein ONT verbinden kann.

  2. Mercedes EQV: Daimler zeigt elektrische Großraumlimousine
    Mercedes EQV
    Daimler zeigt elektrische Großraumlimousine

    Stilvoll elektrisch shuttlen: Daimler hat für die IAA die serienreife Version des Mercedes EQC angekündigt. In dem Elektro-Van haben sechs bis acht Insassen Platz.

  3. Fogcam: Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet
    Fogcam
    Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet

    Die Webcam Fogcam nimmt seit 1994 Bilder vom Gelände der San Francisco State University aus auf. Nach 25 Jahren wird die Kamera nun abgeschaltet, laut den Machern unter anderem wegen fehlender guter Aussicht.


  1. 18:01

  2. 17:40

  3. 17:03

  4. 16:41

  5. 16:04

  6. 15:01

  7. 15:00

  8. 14:42