Test: So unsicher ist Filezilla

├ťbersichtlich, kostenlos, einfach zu bedienen und f├╝r Webmaster brandgef├Ąhrlich. Wir haben den FTP-Client Filezilla getestet und sind auf unglaubliche Sicherheitsl├╝cken gesto├čen. Es mag unglaubw├╝rdig klingen, doch viele Websites wurden gehackt, weil die Webmaster Filezilla genutzt haben. In dem folgenden Video zeigen wir, wo die Gefahren bei Filezilla lauern und wie man die Sicherheitsl├╝cken beheben kann.

Get the Flash Player to see the wordTube Media Player.

 

Die Gefahr ist real

Wie im Video aufgezeigt, speichert der Filezilla-Client alle Anmeldedaten unverschl├╝sselt in XML-Dateien auf eurem PC ÔÇô und das ohne euer Wissen. Dritte Personen und Trojaner k├Ânnen diese so aussp├Ąhen. Trotz aktueller Antiviren-Software hat sich bei einem unserer Redakteure ein Trojaner alle durch Filezilla gespeicherten Passw├Ârter erschlichen. Die Folge war, dass das Mr. Crowley Blog und 5 weitere Websites gehackt wurden (wir berichteten). Daraufhin erhielten wir viele Zuschriften von Webmastern den es genauso ergangen ist.Wir sind also kein Einzelfall.

Was sagen die Filezilla-Entwickler?

Dass Filezilla die Passw├Ârter im Klartext abspeichert, ist den Entwicklern bekannt (w├Ąre auch kurios, wenn nicht). Die Entwickler sehen dies allerdings nicht als Problem, da die User f├╝r die Sicherheit Ihrer Computer schlie├člich selbst verantwortlich seien. (Siehe auch Artikel bei fixmbr). Somit wurde diese Sicherheitsl├╝cke auch in der aktuellen Filezilla Version 3.5.3 nicht behoben.

Nat├╝rlich ist der Filezilla-User f├╝r die Sicherheit seines PCs selbstverantwortlich. Doch in der heutigen Zeit entstehen neue Viren und Trojaner so sprunghaft, dass man selbst mit aktueller Sicherheitssoftware sich etwas einfangen kann. Und in so einem Fall darf keine Software der Welt extrem sensible Daten auf dem Silbertablett servieren.

Sicherheitsl├╝cke beheben

Wer Filezilla trotz allem weiter verwenden m├Âchte, sollte wie im Video beschrieben vorgehen:

  • Datei filezilla.xml in C:\Dokumente und Einstellungen\[Euer Benutzername]\Anwendungsdaten\FileZilla ├Âffnen.
  • In der Zeile <Setting name=“Kiosk mode“>0</Setting> die 0 auf 1 setzen

Danach wird Filezilla die Passw├Ârter weder in der sitemanager.xml noch in der recentservers.xml speichern.

Alternative zu Filezilla

Es gibt einige Alternativen zu Filezilla. Beispielsweise das Programm WinSCP, das man ebenfalls kostenlos downloaden kann.

Weitere Links

Hat Dir der Test gefallen? Dann gib bitte eine Bewertung ab!

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (9 votes, average: 4,44 out of 5)
Loading...
Weitere Links

Dieser Testbericht wurde geschrieben von

Der Produkttest ist nach größter Sorgfalt geschrieben. Fehlerfreiheit kann trotzallem nicht garantiert werden.

Artikel-Schlagwörter: Filezila, FTP-Programm, FTP-Software, Sicherheitsl├╝cken, unsicher,

8 Responses to Test: So unsicher ist Filezilla

  1. Richardo sagt:

    Danke f├╝r die Warnung, ich werde Filezilla nicht mehr nutzen. Habe jetzt mal Win SCP getestet, und da ist von der Bedienung her genauso einfach.

  2. Frank sagt:

    hallo,
    danke f├╝r den hinweis. betrifft diese sicherheitsl├╝cke(n) nur filezilla f├╝r windows oder auch f├╝r mac? (z.b. kann ich das filezilla.xml file auf dem mac nicht finden…)

  3. Andy sagt:

    Einfach Freecommander benutzen, der hat einen FTP client, ist freeware und die Py├čw├Ârter in freecommander.ftp sind verschl├╝sselt.

  4. Holger sagt:

    Filezilla ist also unsicher, weil es Passw├Ârter im Klartext speichert? Wenn jemand Zugriff auf die Datei von au├čen hat, habe ich mit Sicherheit ganz andere Probleme. Verschl├╝sseln von Passw├Ârtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passw├Ârter ja auch entschl├╝sseln k├Ânnen und bei Open Source sollte man die Funktion daf├╝r relativ schnell finden.

    • Mr. Crowley sagt:

      Filezilla ist also unsicher, weil es Passw├Ârter im Klartext speichert?

      Ja, deswegen ist es unsicher. Begreifen leider nicht alle. Ich habe diesbez├╝glich in Foren schon diverse Diskussionen gef├╝hrt. Die wenigsten Leute sind sich der Tragweite bewusst. Das Schlimme ist, dass Filezilla die Passw├Ârter ohne Wissen des Users speichert, d.h. der User weiss gar nicht, auf was er sich da einl├Ąsst.

      Wenn jemand Zugriff auf die Datei von au├čen hat, habe ich mit Sicherheit ganz andere Probleme.

      Das tut mir leid f├╝r Dich. Dann solltest Du Dir ein besseres Sicherheitskonzept f├╝r Deinen PC ├╝berlegen ;-). Ist jetzt nicht b├Âse gemeint, bin nur gerade allgemein auf Krawall geb├╝rstet :-). Bei mir gibt es nichts zu holen. Ein paar Spiele, ein paar Bilder ein paar nutzlose Dokumente. Jetzt kommen bestimmt wieder die ultraschlauen Kommentare: „Ja, wenn jemand Zugriff auf das System erlangt, kann der Angreifer doch einen Keylogger installieren, und so auch an die Passw├Ârter kommen!“ F├╝r diese ultraschlauen Leute hier mal der Unterschied: Wenn sich jemand sich die sitemanager.xml oder recentservers.xml schnappen will, braucht er nur 10 Sekunden Zugriff auf mein System zu erlangen. Und kann sich dann ├╝ber alle Serverzug├Ąnge freuen, mit denen ich mich ├╝ber Filezilla eingeloggt habe. Wird hingegen ein Keylogger installiert hat mein Antivirenprogramm die M├Âglichkeit dies zu erkennen. Au├čerdem erlangt der Angreifer nur die Daten, die ich auch tats├Ąchlich eingebe. Es geht also viel Zeit ins Land. Zeit, in der auffliegen kann, dass mein Rechner kompromittiert ist. In meinen Fall hie├če das konkret: der Angreifer bek├Ąme in Fall 1 (Filezilla) sofort an 20 FTP Zugangsdaten. In Fall 2 (Keylogger) h├Ątte der Angreifer nach 24 Stunden 2 FTP-Zug├Ąnge und erst nach 1 – 2 Jahren alle 20, da einige meiner Websites brach liegen. Das ist doch schon ein Unterschied, oder?

      Verschl├╝sseln von Passw├Ârtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passw├Ârter ja auch entschl├╝sseln k├Ânnen

      Das ist richtig, aber ich glaube Du hast Problem nicht ganz verstanden. Warum speichert Filezilla die denn FTP-Zugangsdaten ├╝berhaupt??? Wenn ich ├╝ber den mitgelieferten Passwortmanager Passw├Ârter speichere, ist es etwas anderes. Hier sage ich der Software explizit „Speichere die Zugangsdaten bitte f├╝r mich“. Wenn ich mich aber einfach nur an einem Server anmelde, sage ich davon nichts! Wenn Du Dich beim Online Banking anmeldest, wie w├╝rdest Du es finden, wenn Deine Bank Deine Zugangsdaten unverschl├╝sselt auf Deine Festplatte speichert? Nat├╝rlich ohne Dich dar├╝ber zu informieren. Darauf muss man erst einmal kommen, dass die Bank auf so eine schwachsinnige Idee kommt. Genauso ist es bei Filezilla.

      Und darum ist die Software unsicher! Ein toller Exploit f├╝r Angreifer.

      Viele Gr├╝├če
      Crowley

  5. Mulle sagt:

    Vor ein paar Jahren habe ich auch mit FileZilla gearbeitet. Eines Tages hat sich ein Virus in meinem Computer eingeschleust, was ich aber auch sofort bemerkt habe und prompt entfernen konnte.

    Doch leider zu sp├Ąt: dieser Virus hat meine ├╝ber 20 gespeicherten FTP-Zugangsdaten ausgelesen. Das habe ich bemerkt, als ein paar Tage sp├Ąter alle im FileZilla gespeicherte Webseiten mit einem versteckten Inlineframe virenverseucht war. Ich musste also s├Ąmtliche FTP-Passw├Ârter ├Ąndern – und habe FileZilla deinstalliert!

    FileZilla kann ich absolut nicht empfehlen! Ich arbeite mit WinSCP. Da werden die Zugangsdaten mit einem Master-Passwort verschl├╝sselt abgelegt.

  6. Lothar sagt:

    Als Greenhorn in Sachen Webseite und Server wurde ich Anfang 2013 ├╝ber Filezilla gehackt. Seitdem benutze ich WinSCP. War damit sehr zufrieden. Doch wie es aussieht, ist damit jetzt Schluss. Heute komme ich ├╝ber WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich ├╝ber WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

    • admin sagt:

      Hallo Lothar,

      Heute komme ich ├╝ber WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich ├╝ber WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

      winscp.net ist nach wie vor erreichbar. Au├čerdem hat die Erreichbarkeit dieser Domain nichts mit der Erreichbarkeit Deines Servers zu tun.

      Falls Du Server-Probleme hast kann ich Dir http://www.fehlersieben.de empfehlen. Die haben sich zwar auf WordPress spezialisiert, helfen aber auch bei anderen Problemen rund um Websites schnell und kompetent weiter. Wir arbeiten schon seit 3 Jahren mit denen zusammen. Man bezahlt nur, wenn die das Problem auch wirklich l├Âsen k├Ânnen – das ist sehr praktisch.

      Viele Gr├╝├če
      Die Mr. Crowley Redaktion

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert.