Montag, 24. Februar 2014

Das FTP-Programm FileZilla (2/4)

Serverdaten im Griff mit der beliebten Open Source-Lösung

Wie sicher ist FileZilla?

Passwortspeicherung im Klartext

FileZilla wird in Foren gelegentlich als unsicher dargestellt, da das Programm die Passwörter für die FTP-Zugänge unverschlüsselt im Klartext abspeichert. Mögliche Schadsoftware oder neugierige Bürokollegen könnten sich diese so leicht aneignen. Tatsächlich legt FileZilla die Daten für die einzelnen Serverzugänge in verschiedenen XML-Dateien ab. Soll sich die Software auch die zugehörigen Passworte merken, werden diese ebenfalls dort im Klartext gespeichert.

Die technisch sauberste Lösung wäre, die Passworte geschützt durch die Verschlüsselung mit einem Masterpasswort zu speichern. Diese Möglichkeit bietet die Software leider nicht. Stattdessen kann man das Speichern der Passworte ganz unterbinden. FileZilla bietet hierfür zwei Optionen. Sie lassen sich für jeden Zugang separat über den Reiter „Allgemein“ des Servermanagers unter „Verbindungsart“ bestimmen. Die Option „Nach Passwort fragen“ veranlasst FileZilla dazu, vor dem Aufbaus einer FTP-Verbindung das jeweilige Passwort abzufragen. Die Software merkt sich dieses Passwort dann für den Zeitraum einer laufenden Programmsession. Wählen Sie die Option „interaktiv“, müssen Sie das Passwort zudem für jeden neuen Verbindungsaufbau innerhalb einer Session eingeben.


Servermanager Filezilla
Servermanager: Passwortbehandlung


Nun sollten Sie aber auch selber nicht die Zugangsdaten in einer Textdatei im Klartext abspeichern. Um sich dennoch nicht alle Passworte merken zu müssen, empfiehlt es sich, einen mit Masterpasswort geschützten externen Passwortmanager einzusetzen.

Der erste Schritt zu mehr Sicherheit ist jedoch, den Computer ansich vor Schadsoftware zu bewahren und niemanden mit dem eigenen Profil unbeobachtet an seinen Rechner zu lassen.

Unterstützung von SFTP und FTPS

Mittels FTP-Protokoll werden alle Daten - und somit auch das Passwort – unverschlüsselt über das Netz versendet. Dies stellt ein weitaus größeres Sicherheitsrisiko als deren unverschlüsselte Speicherung auf dem lokalen Rechner dar. Für den Aufbau einer sicheren Verbindung unterstützt FileZilla die Übertragungsprotokolle SFTP und FTPS (implizit und explizit). Es ist zu einer der drei Möglichkeiten dringend zu raten! Welche Variante Sie letztlich wählen, liegt oftmals gar nicht in Ihrer Hand, sondern wird von Ihrem Service Provider vorgegeben. Erkundigen Sie sich also bei diesem, welches der sicheren Protokolle Sie nutzen können.

Trotz der vermeidlichen Ähnlichkeit der Akronyme handelt es sich bei SFTP und FTPS um zwei unterschiedliche Übertragungsprotokolle. SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol und setzt auf SSH auf. FTPS hingegen bezieht sich auf die Sicherung von FTP mithilfe von TLS.

Servermanager Filezilla
Servermanager: Protokollauswahl (ggf. mit zusätzlichen Optionen)


Das DevShare-Programm von Sourceforge

Zum Zeitpunkt, da dies hier geschrieben wird, nimmt FileZilla am DevShare-Programm teil. In dessen Rahmen werden die jeweiligen Open Source-Programme auf Sourceforge mit einem Installer ausgeliefert, der einem während des Installationsvorganges anbietet, eine weitere Software eines dafür zahlenden Drittanbieters zu installieren.

Die Werbeeinnahmen aus diesem Kooperationsprogramm kommen sowohl Sourceforge als auch dem Anbieter der eigentlich gewünschten Software zugute. Zwar bietet der Installer das Drittprogramm im OptIn-Verfahren an, diese Abfrage ist jedoch optisch so gestaltet, dass man sie leicht mit der Annahme einer Lizenzbestimmung verwechseln kann.

Da eine solche Vorgehensweise eher einem Haustürgeschäft als einer seriösen Geschäftspraxis gleicht, raten wir nicht nur in diesem Zusammenhang von der Zustimmung zur Installation von Drittprogrammen generell ab!

Momentan kann man dem DevShare-Programm auch ganz aus dem Weg gehen, wenn man auf der Homepage von Filezilla auf „Show additional download options“ klickt und dort einen Download auswählt. Sicherheitsbewusste sollten nach dem Download die heruntergeladene Datei mit dem angegebenen Hash-Wert überprüfen.

Mehr zur Diskussion über das DevShare-Programm von Sourceforge finden Sie in diesem Artikel auf heise online.

Offener Quelltext

Als weit verbreitetes Open-Source-Projekt, in dessen Quellcode viele Personen Einblick haben, sollte es Hackern oder irgendwelchen staatlichen Stellen prinzipiell schwerer fallen, eine sicherheitsrelevante Hintertür einzubauen.

Fazit

Der fehlende Verschlüsselungsschutz der Passworte mittels eines Masterpassworts ist sicherlich ein kleiner Makel. Schützt man jedoch seinen Rechner sowohl vor Schadsoftware als auch vor allzu neugierigen Bürokollegen oder nutzt einen externen Passwortmanager, wiegt dieser nicht sonderlich schwer. Schön wäre es jedoch, wenn diese Problematik vonseiten der Entwickler offensiver kommuniziert und auf die entsprechenden sicherheitsrelevanten Auswirkungen der Einstellungen mehr hingewiesen würde. Für uns ist die kostenlose Opensource-Software jedenfalls eine klare Empfehlung wert!

In Teil 3 werden wir zeigen, wie man FileZilla mit einem externen Passwortmanager nutzen kann.


Artikelteile


Projektseiten