Kategorien
Hardware & Software

FileZilla speichert Kennwörter unverschlüsselt. Im Kiosk-Modus das Speichern von FTP-Passwörtern deaktivieren

Eigenartiges Sicherheitsbewusstsein von den FileZilla-Machern: Das beliebte FTP-Programm speichert sämtliche Kennwörter unverschlüsselt im Klartext. Wer an die XML-Datei mit den Kennwörtern gelangt, hat sofort Zugriff auf alle FTP-Server. Nachrüsten lässt sich die Verschlüsselung nicht. Wer FileZilla deshalb nicht gleich den Rücken kehren möchte, kann zumindest das Speichern der FTP-Kennwörter verhindern.

Unverschlüsselte Kennwörter? Nicht unser Problem

Die FileZilla-Macher verteidigen ihr Vorgehen sogar dreist mit dem Argument, man sei nicht für die Sicherheit der Rechner verantworlich; darum müsse sich der FileZilla-Anwender schon selbst kümmern. Das unverschlüsselte Speichern der Kennwörter ist also gewollt.

Wer sich selbst davon ein Bild machen und seine eigenen Kennwörter im Klartext sehen möchte, muss im Explorer nur in den Ordner

C:\Users\<Benutzername>\AppData\Roaming\FileZilla

wechseln, wobei <Benutzername> für Ihren Benutzernamen steht. Sollte der Ordner nicht sichtbar sein, müssen Sie im Explorer zuerst die Anzeige der verborgenen Dateien und Ordner aktivieren, zum Beispiel mit dem Befehl „Extras | Ordneroptionen | Ansicht | Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“.

Wenn Sie im Roaming-Ordner die Datei „sitemanager.xml“ mit einem Texteditor öffnen (Rechtsklick und „Öffnen mit | Editor“), sehen Sie jeweils in den Zeilen „<Pass>“ die Kennwörter. Im Klartext und unverschlüsselt. Wer an die Datei „sitemanager.xml“ kommt, gelangt auch an die FTP-Kennwörter.

Kiosk-Modus verhindert Kennwort-Speicherung

Das Problem lässt sich auch nicht einfach dadurch lösen, dass Sie die Kennwörter löschen. Beim nächsten Verbindungsaufbau speichert FileZilla die Kennwörter wieder in unverschlüsselter Form ab. Die einzige Lösung ist der sogenannte Kiosk-Modus. Wird FileZilla im Kiosk-Modus gestartet, speichert das FTP-Tool keine Kennwörter mehr.

Um den Kiosk-Modus zu aktivieren, öffnen Sie im Explorer wieder den Ordner

C:\Users\<Benutzername>\AppData\Roaming\FileZilla

Dann klicken Sie mit der rechten Maustaste auf die Datei „filezilla.xml“ und wählen im Kontextmenü den Befehl „Bearbeiten“. Dann suchen Sie mit [Strg][F] nach dem Stichwort „Kiosk“. Sollten Sie die Zeile

<Setting name=“Kiosk mode“>0</Setting>

finden, ändern Sie einfach den Wert 0 (Ziffer Null) in 1. Fehlt die Kiosk-Zeile, fügen Sie einfach ganz oben in der Datei unterhalb von

<FileZilla3>
   <Settings>

die Zeile

<Setting name=“Kiosk mode“>1</Setting>

hinzu. Die Datei sollte dann so aussehen wie im folgenden Screenshot.

Abschließend speichern Sie die Datei mit dem Befehl „Datei | Speichern“ und schließen den Editor wieder.   FileZilla startet jetzt immer im eingeschränkten Kiosk-Modus. Das bedeutet: Wenn Sie jetzt mit FileZilla eine FTP-Verbindung aufbauen, müssen Sie zum Verbindungsaufbau das Kennwort eingeben. Dank Kiosk-Modus wird das FTP-Passwort aber nicht mehr gespeichert und kann nicht mehr von Schadprogrammen ausgespäht werden.

Kategorien
Internet & Medien

Die behördlich abgesegnete De-Mail: Trügerische Sicherheit beim vertraulichen Nachrichtenversand

Die kürzlich vom Bundestag abgesegnete De-Mail soll eine sichere und vertrauliche Kommunikation zwischen Absender und Empfänger ermöglichen. Soweit die Theorie. Leider ist das nur eine Halbwahrheit. Die Gesellschaft für Informatik hat herausgefunden, dass De-Mails sind nicht sicherer als die herkömmlichen Mails sind. Der Grund hierfür ist die fehlende „Ende-zu-Ende-Verschlüsselung“.

bild-1-gesellschaft-für-informatik-de-mail-sicher-trugschluss-halbwahrheit-sicherheitslücke

Abgesichert ist nur der Datentransfer

Tatsächlich ist nur der Transport der E-Mail verschlüsselt, die Speicherung Ihrer vertraulichen E-Mail wird auf den Servern aber unverschlüsselt abgelegt. Diese „Transferverschlüsselung“, die das Abhören des Datentransfers verhindert ist nicht neu. Sie wird bereits seit geraumer Zeit auch von den anderen E-Mail-Anbietern benutzt.

Komplette Verschlüsselung ist möglich, aber nicht vorgeschrieben

Die „Ende-zu-Ende-Verschlüsselung“, die den kompletten Vorgang absichern soll, ist aber auch keine Neuheit und technisch gesehen durchaus möglich. Die Bundesregierung hat die „Ende-zu-Ende-Verschlüsselung“ zwar prinzipiell vorgesehen, sie aber nicht zur Voraussetzung gemacht.

Ärgerlich in diesem Zusammenhang ist, dass die De-Mails kostenpflichtig sind und keinen zusätzlichen Schutz gegenüber den herkömmlichen E-Mails bieten. Schließlich möchte man ja auch kein Fahrrad geliefert bekommen, wenn man doch ein Auto bezahlt hat.

Maximale Sicherheit wäre möglich

Es wäre sogar möglich, einen komplett vertraulichen Nachrichtenaustausch zu ermöglichen. Die Kombination aus dem neuen elektronischen Personalausweis und der „Ende-zu-Ende-Verschlüsselung“ lässt dann nur noch authentifizierte Teilnehmer zu.

Bis dieser Zustand endlich eintritt, bleibt einem nur die Möglichkeit, bei vertraulicher Kommunikation der postalische Weg oder das Gespräch unter vier Augen.

Die komplette Meldung der Gesellschaft für Informatik (GI) zu diesem Thema finden Sie hier.

Kategorien
Chrome Firefox Internet & Medien

HTTPS Everywhere: Firefox- und Chrome-Browser zum verschlüsselten Surfen zwingen

Viele Webseiten bieten eine verschlüsselte Version der Site. Im Normalfall wird aber nur die unverschlüsselte Variante angewählt. Hier muss man den Browser zwingen, direkt auf die sichere Verbindung zuzugreifen. Das Add-on „HTTPS Everywhere“ für Firefox und Chrome ist hier das richtige Tool.

Immer sicher und verschlüsselt surfen

Auf der Webseite www.eff.org/https-everywhere finden Sie die Erweiterung als kostenlosen Download.

bild-1-firefox-ff-chrome-google-chromium-https-sichere-verbindung-installieren-aufbauen-auswählen-url-addon

Nach der Installation des Add-Ons starten Sie den Browser neu. Ist das Add-On aktiviert, wird statt der Standardverbindung immer eine verschlüsselte Verbindung (erkennbar am „s“ in „https“ und dem grünen Schloss-Symbol) aufgebaut. Das funktioniert natürlich nur, wenn der jeweilige Webseitenbetreiber neben der normalen http- auch die https-Verbindung unterstützt.