Il protocollo FTP è, a ragione, abbastanza disprezzato dai SysAdmin.
Siccome è un protocollo molto vecchio, presenta dei comportamenti che non sono più adatti alle configurazioni attuali. Uno di questi è la trasmissione in chiaro delle credenziali.
Come per altri protocolli, è stata aggiunta la possibilità di utilizzare TLS come trasporto ottenendo il protocollo FTPS (RFC4217), che non va confuso con il protocollo SFTP. (altro…)
avast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.
Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.
In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.
Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:
ftp://utente:segreta@mail.siamogeek.com
Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:
State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.
Una segnalazione del baco è già presente in Bugzilla.
No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)