Безопасность паролей в Filezilla

Filezilla — это бесплатный популярный FTP-клиент, который обеспечивает пользователю доступ к данным с локального компьютера на удаленный сервер при помощи FTP, SFTP и FTPS. Программа является кроссплатформенной и работает как на системах Windows, так и на Mac OS X и Linux.

Помимо всех достоинств, у Filezilla присутствует большая проблема безопасности, с которой сталкивается каждый пользователь. Пароли для соединения с сервером хранятся в XML файлах в незашифрованном виде.

По словам разработчика, это преднамеренный эффект, так как, за безопасность личных данных ответственна операционная система, которая установлена на пользовательском компьютере. С точки зрения аспектов безопасности это абсолютно неприемлемо, так как различному вредоносному программному обеспечению (Gumblar или Troj/JSRedir-R) не составит никакого труда пробраться к этим данным и с помощью добытой информации взломать веб-сайты.

Данные в открытом виде сохраняются в XML файлах

Информация храниться в двух определенных файлах – sitemanager.xml и recentservers.xml, которые находятся в следующих каталогах:

• «C:\Documents and Settings\<username>\Application Data\Filezilla» (Windows XP)
• «C:\Users\<username>\AppData\Roaming\FileZilla» (Windows Vista/7)
• «~/.filezilla» (Linux / Mac OS X)

Файл sitemanager.xml создается тогда, когда пользователь сохраняет информацию о своих сайтах в менеджере сайтов.

Незакодированный пароль в sitemanager.xml

Файл recentservers.xml создается тогда, когда пользователь использует функцию быстрого соединения в тулбаре Filezilla. Программа направляет введенные данные в незакодированном виде в XML-данные.

Незакодированный пароль в recentservers.xml

Проверяйте ваши настройки в Filezilla

Для уменьшения риска угрозы кражи паролей, вы принципиально не должны сохранять никакие FTP-соединения в менеджере сайтов и четко прописать в настройках Filezilla не сохранять ваши пароли автоматически. Это можно сделать в пункте меню Редактирование –> Настройки –> Интерфейс.

Опция «Не сохранять пароли»

Если вы уже используете Filezilla, в пункте Редактирование –> Удалить личные данные, можно удалить записи для быстрого соединения и менеджера сайтов. Таким образом оба вышеуказанных XML-файла очищаются, а все записи стираются.

Установка функции Auto-type в KeePass для Filezilla

В программе Кипас, создаем в ее левой колонке папку ФТП и создаем первый профиль для входа на один из своих сайтов по протоколу FTP.

В его заполнении есть несколько нюансов. В первом поле мы прописываем адрес FTP сервера вашего хостера, потом вводим логин и пароль, выданные вам для доступа к сайту по файловому протоколу, а вот в поле «Ссылка» мы вставляем команду на открытие Файлзилы, что довольно удобно.

Для обычной Винды это будет:

cmd://"C:\Program Files\FileZilla FTP Client\filezilla.exe"

А для 64-х разрядной:

cmd://"C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe"

В поле комментарии лучше всего будет написать название этого соединения, т.к. адрес FTP сервера может быть малоинформативен. Далее открываем файлзилу и не вводя в нее никаких паролей заходим на вкладку «Автонабор» программы KeePass, чтобы привязать этот профиль к нашему ФТП менеджеру:

Как и было показано чуть выше по тексту, нажимаете кнопку «Добавить», выбираете из выпадающего списка «Целевое окно» FileZilla (она должна быть на этот момент открыта и в полях авторизации не должно быть ничего), после чего нажимаете ОК.

Галочка на скриншоте стоит в поле «Наследовать автонабор из группы», т.к. я прописал нужные операнты для всей группы (папки ФТП), выбрав из ее контекстного меню пункт «Изменить группу» и перейдя на вкладку «Автонабор»:

Вы вольны переставить галочку в поле «Использовать следующую последовательность» и для каждого ФТП соединения вводить в расположенное чуть ниже поле набор оперантов:

{TITLE}{TAB}{USERNAME}{TAB}{PASSWORD}{ENTER}

Сути это не меняет. Теперь для проверки открываем FileZilla, ставим курсор в первую строку поля авторизации и жмем на три волшебных клавиши (Ctrl+Alt+A):

Если вы по описанному чуть выше алгоритму создадите несколько парольных профилей для разных ФТП подключений, то при нажатии волшебных клавиш вас спросят о том, куда же вы все-таки хотите войти (тоже самое будет справедливо и для сайтов, где у вас несколько аккаунтов):

Можно использовать и другой алгоритм входа. Открываете свою программу для хранения паролей (кипас), заходите в папку ФТП, щелкаете один раз мышью по строке с нужным ФТП аккаунтом и жмете Ctrl+U на клавиатуре.

Фокус переносится на открывшуюся при этом программу Файлзила (вот для чего ссылку cmd://"C:\Program Files\FileZilla FTP Client\filezilla.exe" добавляли), но вы никуда больше не заходя опять возвращаетесь в KeePass и нажимаете сочетание клавиш Ctrl+V. В результате поля авторизации в FileZilla заполнятся автоматически и вы получите доступ к своему сайту. Какой способ автоматического ввода пароля удобнее — выбирать вам.

Ну и, наконец, можете просто скопировать логин и пассворд в буфер обмена, по очереди щелкая по ним даблкликом в окне Кипаса (в колонках имя и пароль). Двойной клик по названиям записи откроет окно ее редактирования, а даблклик в колонке «Ссылка» — активирует переход по ней.

Срок хранения паролей в буфере обмена задается в настройках (Сервис — Настройки — Безопасность — Автоочистка буфера) и по умолчанию равен 12 секундам.

Так, и еще пару шагов, которые позволят убрать все следы вводимых в FileZilla из KeePass паролей. Дело в том, что этот ФТП менеджер хранит историю введенных пасвордов еще некоторое время и некоторое количество. Для устранения этого казуса придется проделать ряд несложных манипуляций.

Во-первых, удалите уже упомянутый выше sitemanager.xml (папку его хранения см. выше). Во-вторых, нужно будет чуток изменить настройки программы.

Для этого находите файл fzdefaults.xml.example в каталоге c:\Program Files (x86)\FileZilla FTP Client\docs\ и переименовываете его, удаляя окончание в fzdefaults.xml. Переносите этот файл в папку с Файлзилой (c:\Program Files (x86)\FileZilla FTP Client) и, открыв его на редактирование в Нотепаде++, удалите все его содержимое, заменив его на это:

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3>
    <Settings>
      <Setting name="Kiosk mode">1</Setting>
    </Settings>
</FileZilla3>

Сохраняете изменения, после чего идете в папку C:\Users\[название учетки]\AppData\Roaming\FileZilla\ и удаляете там файлы recentservers.xml и filezilla.xml. Всё, ваша FileZilla теперь никому не расскажет, что за пароли в нее вводились автоматически из менеджера KeePass. Что и требовалось реализовать.