Форум StopLinux

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

FAILzilla

Все слышали и знают о таком казалось бы замечательном FTP-клиенте, как FileZilla (3.4.0) Решил я копнуть его поглубже, уж очень был интересен тот факт, что все пароли сохранялись уверенно молча, думалось шифрует…

С небес на землю. Благодаря FileMon’у нашел куда это зараза отсохраняет все пассы. У меня в случае установки для текущего пользователя (в XP) все сохранилось тут:

C:\Documents and Settings\Plutonium\Application Data\FileZilla

Любопытны два файла - recentservers.xml и filezilla.xml. В первом мы можем наблюдать стройно разложенные XML-параметры - сервера+пасы, во втором можно найти сервер/пасс к последней сессии. Пример содержания  recentservers.xml:

<Server>
<Host>10ballov.ru</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<Logontype>1</Logontype>
<User>u37052</User>
<Pass>3ion3hetic</Pass>    <-- FUUUUUUUUUUUUUUUUUUUUU
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
</Server>

Не знаю, удивлятся  ли сейчас постоянные пользователи FAILzill’ы но лично я чуть не пролил чай на клаву от увиденного. Что это? Новое поколение уязвимостей?

Но, казалось бы, не все так плохо, ведь есть:

Работает мягко говоря загадочно (по умолчанию отключена кстати). Если воткнуть галку, нажать ОК и выйти из программы, то при следующем запуске галки вновь не будет!  Если у вас уже были отсохранены пароли, то включение nopass ничего не сотрет. ПZdts

Вывод: FAILzilla лучший друг троянопейсателя, браво блеать

---

Смысл жизни в том, чтобы найти этот смысл.

Babusha

Нехристь

Здесь с 12-03-10

Сообщений: 2,221

Re: FAILzilla

Вывод: FAILzilla лучший друг троянопейсателя, браво блеать

Под линупсов таких проблем нет.

Я вообще написал консольный свой ftp клиент со всеми блекджеками и шлюхами и ниначто не променяю, ибо ничего удобнее моего нету

---

Удовлетворен GNU/Linux (с) Linups_Troolvalds
13-значный пароль, состоящий из одних цифр, ломается за полчаса (с) Rector. Авторитетный Хакер у себя в классе
Я тебя просто отсюда выпилю.  (с) Рехтур. Взламывает анусы по ойпи.

petrun

Участник

Здесь с 22-10-09

Сообщений: 3,172

Re: FAILzilla

Plutonium
Вас удивляет то, что пароли храняться в открытом виде? А как им еще храниться-то?
Мастер пароля  или иного ключа у вас не спрашивали, чем они должны шифроваться, по вашему?

---

Анархия-мама сынов своих любит

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

Re: FAILzilla

Мастер пароля  или иного ключа у вас не спрашивали, чем они должны шифроваться, по вашему?

Есть такое понятие, статичный ключ, заложенный в код программы.

Babusha, да вот чую, что тоже придется свой фтп в визуалке набросать 

---

Смысл жизни в том, чтобы найти этот смысл.

petrun

Участник

Здесь с 22-10-09

Сообщений: 3,172

Re: FAILzilla

Есть такое понятие, статичный ключ, заложенный в код программы.

Мда. А его кто зашифрует?)

---

Анархия-мама сынов своих любит

Svart Testare

Великий Человек

Откуда: Вселенной

Здесь с 05-10-09

Сообщений: 5,481

Сайт

Re: FAILzilla

Вывод: FAILzilla лучший друг троянопейсателя, браво блеать

А если её файлы зашифровать средствами Windows?
P.S: И руссификация какая-то странная на скриншоте — наполовину что ли?

---

«Коллективная глупость — индивидуальный признак толпы» © SLOR, 28 апреля 2011 г.
«Где пьёт толпа, все родники отравлены» © Фридрих Ницше.
Requiescat in pace, SLOR! © Уход Hedge 24 мая 2011 г.

MOP3E

Участник

Здесь с 05-10-09

Сообщений: 4,208

Re: FAILzilla

Вас удивляет то, что пароли храняться в открытом виде? А как им еще храниться-то?
Мастер пароля  или иного ключа у вас не спрашивали, чем они должны шифроваться, по вашему?

Тотал коммандер пароли к FTP шифрует. Круто, да?

А если её файлы зашифровать средствами Windows?

Если троян будет работать из под пользователя, который зашифровал пароль, это не поможет. В виндах "прозрачное" шифрование.

Мда. А его кто зашифрует?)

А это уже как его в программе разместишь. Можно ведь и так в код вшить, что без бутылки не разберёшься, а потом собирать десятком вызовов разных функций. Конечно, для опсоса такой вариант не прокатит: исходный код ведь доступен для изучения, поэтому статичный пароль всё равно расшифруют.

---

Я не игрушечный. Я, б*я, коллекционный! (с) Duke Nukem Forever
Я не специалист по [вставить название]. Мне главное концептуально решить задачу! (с) АхаRu.
Линукс - это альтернативная ОС о которой известно, что она не является ОС ну вот просто ни разу. (с) Linups_Troolvalds.
А с какого такого перепугу пользователей линукса должно быть больше 1%? (с) petrun

Svart Testare

Великий Человек

Откуда: Вселенной

Здесь с 05-10-09

Сообщений: 5,481

Сайт

Re: FAILzilla

Если троян будет работать из под пользователя, который зашифровал пароль, это не поможет.

Да, но поможет если троян как обычно отправит зашифрованный файл хозяину. И тогда хозяин не сможет у себя его прочитать.

---

«Коллективная глупость — индивидуальный признак толпы» © SLOR, 28 апреля 2011 г.
«Где пьёт толпа, все родники отравлены» © Фридрих Ницше.
Requiescat in pace, SLOR! © Уход Hedge 24 мая 2011 г.

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

Re: FAILzilla

Мда. А его кто зашифрует?)

толсто же! Мы сейчас о чем говорим? О шифрование на основе пароля-ключа заложенного в код программы или о чем-то другом?

К слову, не шибко надежно, ибо хакЭр может скачать исходник проги и увидеть "случайно" оставленный ключ там. Полагаю, самым надежным был бы метод, запроса рандомной абракадабры-ключа со своего сервера, но для опенсорса это судя по всему слишком сложно 

И вообще уважаемый Петрунчик, тему я поднял не из-за того, что программа что-то не шифрует, а потому, что она нихера ни о чем не уведомляет, все в тихую … а-ля догадайся сам. Ну и как предостережение изающим ее. 

Отредактировано Plutonium (05-04-11 22:04:34)

---

Смысл жизни в том, чтобы найти этот смысл.

petrun

Участник

Здесь с 22-10-09

Сообщений: 3,172

Re: FAILzilla

А это уже как его в программе разместишь. Можно ведь и так в код вшить, что без бутылки не разберёшься, а потом собирать десятком вызовов разных функций. Конечно, для опсоса такой вариант не прокатит: исходный код ведь доступен для изучения, поэтому статичный пароль всё равно расшифруют.

Это не шифрование, я чушь собачья. Потому как Этот ключ всегда можно будет вытащить.

Добавлено спустя 01 мин 39 с:

И вообще уважаемый Путрунчик

Вы правил-то не нарушайте.

а потому, что она нихера ни о чем не уведомляет, все в тихую … а-ля догадайся сам.

А что трудно догадаться, что пароль хранится в открытом виде? это какбэ очевидно.

---

Анархия-мама сынов своих любит

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

Re: FAILzilla

Вы правил-то не нарушайте.

звыняюсь, просто смягчил ник 

---

Смысл жизни в том, чтобы найти этот смысл.

Tiphon

Забанен

Здесь с 08-07-10

Сообщений: 2,718

Re: FAILzilla

Это не шифрование, я чушь собачья. Потому как Этот ключ всегда можно будет вытащить.

Способов решений таких ситуаций - куча.

Просто правильно плутониум говорит, не надо так тихо и "про себя" такие вещи делать.

---

Квантовая механика - "малопонятный математический курьёз" (с) msAVA - современный учитель.

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

Re: FAILzilla

Забыл кинуть ссыль на интересности: forum.antichat.ru/printthread.php?t=233260&page=1&pp=10

---

Смысл жизни в том, чтобы найти этот смысл.

petrun

Участник

Здесь с 22-10-09

Сообщений: 3,172

Re: FAILzilla

Способов решений таких ситуаций - куча.

Не привлекая третий сервер с сертификатом?

---

Анархия-мама сынов своих любит

Svart Testare

Великий Человек

Откуда: Вселенной

Здесь с 05-10-09

Сообщений: 5,481

Сайт

Re: FAILzilla

Забыл кинуть ссыль на интересности

Бедный народ — обложились антивирусами и фаерволами, хранят пароли в каких-то блокнотах специальных… И всё равно попадают с троянами!

---

«Коллективная глупость — индивидуальный признак толпы» © SLOR, 28 апреля 2011 г.
«Где пьёт толпа, все родники отравлены» © Фридрих Ницше.
Requiescat in pace, SLOR! © Уход Hedge 24 мая 2011 г.

Гареев Станислав

Забанен

Откуда: Пятигорск

Здесь с 24-07-10

Сообщений: 3,221

Сайт

Re: FAILzilla

И всё равно попадают с троянами! smile

Помойки..

---

Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер

Babusha

Нехристь

Здесь с 12-03-10

Сообщений: 2,221

Re: FAILzilla

Во всяком случае пока попались только пользователи священного вантуза! Линупсоидов сам приподобный Стулман охороняэ!

---

Удовлетворен GNU/Linux (с) Linups_Troolvalds
13-значный пароль, состоящий из одних цифр, ломается за полчаса (с) Rector. Авторитетный Хакер у себя в классе
Я тебя просто отсюда выпилю.  (с) Рехтур. Взламывает анусы по ойпи.

Гареев Станислав

Забанен

Откуда: Пятигорск

Здесь с 24-07-10

Сообщений: 3,221

Сайт

Re: FAILzilla

Линупсоидов сам приподобный Стулман охороняэ!

Не, у нас есть репозитарии где все ментайнеры с паспортными данными.

---

Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер

Babusha

Нехристь

Здесь с 12-03-10

Сообщений: 2,221

Re: FAILzilla

Не, у нас есть репозитарии где все ментайнеры с паспортными данными.

Сейчас тебе расскажут свидетели булмера что в  вантузе репохитории первые появились, а тупые фанатики стулмана взяли и украли!  А вообще, репозитории лучшее что пока есть.

Отредактировано Babusha (05-04-11 23:42:15)

---

Удовлетворен GNU/Linux (с) Linups_Troolvalds
13-значный пароль, состоящий из одних цифр, ломается за полчаса (с) Rector. Авторитетный Хакер у себя в классе
Я тебя просто отсюда выпилю.  (с) Рехтур. Взламывает анусы по ойпи.

Plutonium

Oberststumbannfuhrer

Здесь с 25-07-10

Сообщений: 352

Re: FAILzilla

А вообще, репозитории лучшее что пока есть.

Особенно, если репозиторий это весь Интернет! (Windows) 

---

Смысл жизни в том, чтобы найти этот смысл.

Babusha

Нехристь

Здесь с 12-03-10

Сообщений: 2,221

Re: FAILzilla

Особенно, если репозиторий это весь Интернет! (Windows) 

Ой, опять мантры! Но на деле это от помойки и глюков не лечит 

---

Удовлетворен GNU/Linux (с) Linups_Troolvalds
13-значный пароль, состоящий из одних цифр, ломается за полчаса (с) Rector. Авторитетный Хакер у себя в классе
Я тебя просто отсюда выпилю.  (с) Рехтур. Взламывает анусы по ойпи.

Svart Testare

Великий Человек

Откуда: Вселенной

Здесь с 05-10-09

Сообщений: 5,481

Сайт

Re: FAILzilla

Babusha,
Оффтопить прекращаем! А то с петяном общаться в баньку пойдёте.

---

«Коллективная глупость — индивидуальный признак толпы» © SLOR, 28 апреля 2011 г.
«Где пьёт толпа, все родники отравлены» © Фридрих Ницше.
Requiescat in pace, SLOR! © Уход Hedge 24 мая 2011 г.

Гареев Станислав

Забанен

Откуда: Пятигорск

Здесь с 24-07-10

Сообщений: 3,221

Сайт

Re: FAILzilla

Оффтопить прекращаем! А то с петяном общаться в баньку пойдёте.

Гав!

---

Не ламерствуй лукаво.
"А петь мне нельзя - постановление суда" (с) Бендер

IvanOFF

Участник

Здесь с 26-12-09

Сообщений: 1,653

Re: FAILzilla

Ну хранится он в открытую, но при этом на вашем компе, нашли повод шуметь. Только вот никто не вспомнил, что протокол FTP передает пароль в открытом виде:

Так что трояну и иже с ними похуй, что там и как хранится. Все элементарно перехватывается.

---

"Оно, конечно, можно научить медведя ездить на велосипеде. Да только будет ли медведю от этого польза и удовольствие?" (с) А. и Б. Стругацкие

petrun

Участник

Здесь с 22-10-09

Сообщений: 3,172

Re: FAILzilla

IvanOFF
Какбэ ftp можно пускать поверх ssl.

---

Анархия-мама сынов своих любит