他のFTPクライアントは安全なのか
2010.02.01 Monday 23:34
なんかFFFTPから乗り換えればOKみたいな人が多いのが気になったのでメモ.
1. FTPは平文でパスワードを送るので傍受に対して安全ではない
2. PC内に保存してあるパスワードをマルウェアに勝手に利用されるから安全ではない.
の2つの問題のうち1は当たり前の話なので,話を2に絞ることにする.
マルウェアに感染するやつが悪いという話も横に置いておくことにする.
マルウェアにねらわれるソフトのリストを挙げてあるページがあった.
10 FTP Clients Malware Steals Credentials From
これに加えて今回FFFTPもダメと.
WinSCPはマスタパスワードを設定して,AESで暗号化しているので安全みたい.
WinSCP Contents » Features » Master Password
1. FTPは平文でパスワードを送るので傍受に対して安全ではない
2. PC内に保存してあるパスワードをマルウェアに勝手に利用されるから安全ではない.
の2つの問題のうち1は当たり前の話なので,話を2に絞ることにする.
マルウェアに感染するやつが悪いという話も横に置いておくことにする.
マルウェアにねらわれるソフトのリストを挙げてあるページがあった.
10 FTP Clients Malware Steals Credentials From
CoffeeCup Direct FTP
TransSoft FTP Control 4
Core FTP
GlobalScape CuteFTP
Far Manager (with FTP plugin)
FileZilla
FlashFXP
SmartFTP
FTP Navigator
Total Commander
これに加えて今回FFFTPもダメと.
WinSCPはマスタパスワードを設定して,AESで暗号化しているので安全みたい.
WinSCP Contents » Features » Master Password
パスフレーズ無しの秘密鍵もこの流れから言うと危険かなぁ.SSHの秘密鍵ってサイトごとに使い分けているのかな?
ちなみに調べてみたらSmartFTPを使って同じ目に遭っている人がいた.
SmartFTP Client> Enhancement Requests:
Encryption of saved passwords / favourites
番外編:
Subversionは平文でパスワードを保存するようだ.
ぼんやりと考えたこと: 簡単に復号できても平文よりマシ
マルチユーザのサーバで平文保存は,たとえpermissionが 700 でもよろしくない感じがする.他人のパスワードを見てしまったときって,見た方がダメージ大きいからなぁ.
ちなみに調べてみたらSmartFTPを使って同じ目に遭っている人がいた.
SmartFTP Client> Enhancement Requests:
Encryption of saved passwords / favourites
番外編:
Subversionは平文でパスワードを保存するようだ.
ぼんやりと考えたこと: 簡単に復号できても平文よりマシ
マルチユーザのサーバで平文保存は,たとえpermissionが 700 でもよろしくない感じがする.他人のパスワードを見てしまったときって,見た方がダメージ大きいからなぁ.
Comments
WinSCPも含まれているらしいです。(マスタパスワードなしかもしれませんが?)
どれ使っても安心できないなぁ
まぁ自分は弱小サイトなので大丈夫!なはず