´╗┐ Test: So unsicher ist Filezilla Test: So unsicher ist Filezilla

Test

Test: So unsicher ist Filezilla

├ťbersichtlich, kostenlos, einfach zu bedienen und f├╝r Webmaster brandgef├Ąhrlich. Wir haben den FTP-Client Filezilla getestet und sind auf unglaubliche Sicherheitsl├╝cken gesto├čen. Es mag unglaubw├╝rdig klingen, doch viele Websites wurden gehackt, weil die Webmaster Filezilla genutzt haben. In dem folgenden Video zeigen wir, wo die Gefahren bei Filezilla lauern und wie man die Sicherheitsl├╝cken beheben kann.

Get the Flash Player to see the wordTube Media Player.

 

Die Gefahr ist real

Wie im Video aufgezeigt, speichert der Filezilla-Client alle Anmeldedaten unverschl├╝sselt in XML-Dateien auf eurem PC ÔÇô und das ohne euer Wissen. Dritte Personen und Trojaner k├Ânnen diese so aussp├Ąhen. Trotz aktueller Antiviren-Software hat sich bei einem unserer Redakteure ein Trojaner alle durch Filezilla gespeicherten Passw├Ârter erschlichen. Die Folge war, dass das Mr. Crowley Blog und 5 weitere Websites gehackt wurden (wir berichteten). Daraufhin erhielten wir viele Zuschriften von Webmastern den es genauso ergangen ist.Wir sind also kein Einzelfall.

Was sagen die Filezilla-Entwickler?

Dass Filezilla die Passw├Ârter im Klartext abspeichert, ist den Entwicklern bekannt (w├Ąre auch kurios, wenn nicht). Die Entwickler sehen dies allerdings nicht als Problem, da die User f├╝r die Sicherheit Ihrer Computer schlie├člich selbst verantwortlich seien. (Siehe auch Artikel bei fixmbr). Somit wurde diese Sicherheitsl├╝cke auch in der aktuellen Filezilla Version 3.5.3 nicht behoben.

Nat├╝rlich ist der Filezilla-User f├╝r die Sicherheit seines PCs selbstverantwortlich. Doch in der heutigen Zeit entstehen neue Viren und Trojaner so sprunghaft, dass man selbst mit aktueller Sicherheitssoftware sich etwas einfangen kann. Und in so einem Fall darf keine Software der Welt extrem sensible Daten auf dem Silbertablett servieren.

Sicherheitsl├╝cke beheben

Wer Filezilla trotz allem weiter verwenden m├Âchte, sollte wie im Video beschrieben vorgehen:

  • Datei filezilla.xml in C:\Dokumente und Einstellungen\[Euer Benutzername]\Anwendungsdaten\FileZilla ├Âffnen.
  • In der Zeile <Setting name=“Kiosk mode“>0</Setting> die 0 auf 1 setzen

Danach wird Filezilla die Passw├Ârter weder in der sitemanager.xml noch in der recentservers.xml speichern.

Alternative zu Filezilla

Es gibt einige Alternativen zu Filezilla. Beispielsweise das Programm WinSCP, das man ebenfalls kostenlos downloaden kann.

Preisvergleich

Nutzen Sie unseren Preisvergleich, um "" g├╝nstig zu kaufen. Die Preise beziehen sich auf ausgew├Ąhlte Onlineshops.

Keine EAN oder ASIN vergeben

Hat dir der Testbericht geholfen?

Hat dir unser "" Test weit geholfen? Dann gib bitte eine Bewertung ab.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (9 votes, average: 4,44 out of 5)
Loading...

8 Gedanken zu „Test: So unsicher ist Filezilla

  • 11. September 2012 um 11:36
    Permalink

    Danke f├╝r die Warnung, ich werde Filezilla nicht mehr nutzen. Habe jetzt mal Win SCP getestet, und da ist von der Bedienung her genauso einfach.

    Antwort
  • 14. Dezember 2012 um 12:55
    Permalink

    hallo,
    danke f├╝r den hinweis. betrifft diese sicherheitsl├╝cke(n) nur filezilla f├╝r windows oder auch f├╝r mac? (z.b. kann ich das filezilla.xml file auf dem mac nicht finden…)

    Antwort
  • 12. Februar 2013 um 12:31
    Permalink

    Einfach Freecommander benutzen, der hat einen FTP client, ist freeware und die Py├čw├Ârter in freecommander.ftp sind verschl├╝sselt.

    Antwort
  • 13. Mai 2013 um 07:47
    Permalink

    Filezilla ist also unsicher, weil es Passw├Ârter im Klartext speichert? Wenn jemand Zugriff auf die Datei von au├čen hat, habe ich mit Sicherheit ganz andere Probleme. Verschl├╝sseln von Passw├Ârtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passw├Ârter ja auch entschl├╝sseln k├Ânnen und bei Open Source sollte man die Funktion daf├╝r relativ schnell finden.

    Antwort
    • 13. Mai 2013 um 08:46
      Permalink

      Filezilla ist also unsicher, weil es Passw├Ârter im Klartext speichert?

      Ja, deswegen ist es unsicher. Begreifen leider nicht alle. Ich habe diesbez├╝glich in Foren schon diverse Diskussionen gef├╝hrt. Die wenigsten Leute sind sich der Tragweite bewusst. Das Schlimme ist, dass Filezilla die Passw├Ârter ohne Wissen des Users speichert, d.h. der User weiss gar nicht, auf was er sich da einl├Ąsst.

      Wenn jemand Zugriff auf die Datei von au├čen hat, habe ich mit Sicherheit ganz andere Probleme.

      Das tut mir leid f├╝r Dich. Dann solltest Du Dir ein besseres Sicherheitskonzept f├╝r Deinen PC ├╝berlegen ;-). Ist jetzt nicht b├Âse gemeint, bin nur gerade allgemein auf Krawall geb├╝rstet :-). Bei mir gibt es nichts zu holen. Ein paar Spiele, ein paar Bilder ein paar nutzlose Dokumente. Jetzt kommen bestimmt wieder die ultraschlauen Kommentare: „Ja, wenn jemand Zugriff auf das System erlangt, kann der Angreifer doch einen Keylogger installieren, und so auch an die Passw├Ârter kommen!“ F├╝r diese ultraschlauen Leute hier mal der Unterschied: Wenn sich jemand sich die sitemanager.xml oder recentservers.xml schnappen will, braucht er nur 10 Sekunden Zugriff auf mein System zu erlangen. Und kann sich dann ├╝ber alle Serverzug├Ąnge freuen, mit denen ich mich ├╝ber Filezilla eingeloggt habe. Wird hingegen ein Keylogger installiert hat mein Antivirenprogramm die M├Âglichkeit dies zu erkennen. Au├čerdem erlangt der Angreifer nur die Daten, die ich auch tats├Ąchlich eingebe. Es geht also viel Zeit ins Land. Zeit, in der auffliegen kann, dass mein Rechner kompromittiert ist. In meinen Fall hie├če das konkret: der Angreifer bek├Ąme in Fall 1 (Filezilla) sofort an 20 FTP Zugangsdaten. In Fall 2 (Keylogger) h├Ątte der Angreifer nach 24 Stunden 2 FTP-Zug├Ąnge und erst nach 1 – 2 Jahren alle 20, da einige meiner Websites brach liegen. Das ist doch schon ein Unterschied, oder?

      Verschl├╝sseln von Passw├Ârtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passw├Ârter ja auch entschl├╝sseln k├Ânnen

      Das ist richtig, aber ich glaube Du hast Problem nicht ganz verstanden. Warum speichert Filezilla die denn FTP-Zugangsdaten ├╝berhaupt??? Wenn ich ├╝ber den mitgelieferten Passwortmanager Passw├Ârter speichere, ist es etwas anderes. Hier sage ich der Software explizit „Speichere die Zugangsdaten bitte f├╝r mich“. Wenn ich mich aber einfach nur an einem Server anmelde, sage ich davon nichts! Wenn Du Dich beim Online Banking anmeldest, wie w├╝rdest Du es finden, wenn Deine Bank Deine Zugangsdaten unverschl├╝sselt auf Deine Festplatte speichert? Nat├╝rlich ohne Dich dar├╝ber zu informieren. Darauf muss man erst einmal kommen, dass die Bank auf so eine schwachsinnige Idee kommt. Genauso ist es bei Filezilla.

      Und darum ist die Software unsicher! Ein toller Exploit f├╝r Angreifer.

      Viele Gr├╝├če
      Crowley

      Antwort
  • 31. Januar 2014 um 21:11
    Permalink

    Vor ein paar Jahren habe ich auch mit FileZilla gearbeitet. Eines Tages hat sich ein Virus in meinem Computer eingeschleust, was ich aber auch sofort bemerkt habe und prompt entfernen konnte.

    Doch leider zu sp├Ąt: dieser Virus hat meine ├╝ber 20 gespeicherten FTP-Zugangsdaten ausgelesen. Das habe ich bemerkt, als ein paar Tage sp├Ąter alle im FileZilla gespeicherte Webseiten mit einem versteckten Inlineframe virenverseucht war. Ich musste also s├Ąmtliche FTP-Passw├Ârter ├Ąndern – und habe FileZilla deinstalliert!

    FileZilla kann ich absolut nicht empfehlen! Ich arbeite mit WinSCP. Da werden die Zugangsdaten mit einem Master-Passwort verschl├╝sselt abgelegt.

    Antwort
  • 27. Februar 2015 um 12:32
    Permalink

    Als Greenhorn in Sachen Webseite und Server wurde ich Anfang 2013 ├╝ber Filezilla gehackt. Seitdem benutze ich WinSCP. War damit sehr zufrieden. Doch wie es aussieht, ist damit jetzt Schluss. Heute komme ich ├╝ber WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich ├╝ber WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

    Antwort
    • 27. Februar 2015 um 13:57
      Permalink

      Hallo Lothar,

      Heute komme ich ├╝ber WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich ├╝ber WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

      winscp.net ist nach wie vor erreichbar. Au├čerdem hat die Erreichbarkeit dieser Domain nichts mit der Erreichbarkeit Deines Servers zu tun.

      Falls Du Server-Probleme hast kann ich Dir http://www.fehlersieben.de empfehlen. Die haben sich zwar auf WordPress spezialisiert, helfen aber auch bei anderen Problemen rund um Websites schnell und kompetent weiter. Wir arbeiten schon seit 3 Jahren mit denen zusammen. Man bezahlt nur, wenn die das Problem auch wirklich l├Âsen k├Ânnen – das ist sehr praktisch.

      Viele Gr├╝├če
      Die Mr. Crowley Redaktion

      Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert.

*