  |
感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体
SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険
でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ
INIファイルに変えたって同じだよ!
もちろん、「絶対感染しない」ってのは不可能だけどね
感染した場合に、FTPソフトが保存してる情報を盗み出して利用される
だから危ないと騒がれてる
「特定のマルウェア」とは、8080系とか“Gumblar”とかいわれてる奴
** ■今後もパスワードを保存しなければ平気
保存して無いものは盗みようが無い
この後に「でも今回の問題だけね、そもそも・・」と続くので取消します
感染した後に利用される
だからセキュリティ対策をしっかりしよう
<<最重要>>
あと、これもやる http://anond.hatelabo.jp/20100131082751
<<通信盗聴の対策>>
FTPを使わない。暗号化されるものを使う(FTPSとかSFTPとかが話題に上がってるね)
通信部分を盗聴するのは、マルウェアに感染させるより簡単なので、そこの対策だね
<<感染した場合に備える>>
パスワードを保存しない
これまでに保存したパスワードを消去する
なんだかんだで、「感染して即盗られる」のと「使ったら盗られる」のは危険度が違うよね
以上
例えば、FTPは通信を暗号化してないから、簡単に盗聴できるからね?
今回は「パスワードが利用される」だったけど、「FTPを盗聴して内容をネットに送信する」マルウェアも作れるからね?
これ、FTPクライアントがFFFTPだろうがなんだろうが関係無いからね?
・パスワードは保存するな
僕はローカルに保存せず、ポストイットに書いてディスプレイに貼り付けます(^q^
タイトル変えました
同じ内容を書いてるつもりだけど、何か違うらしいので彼の主張を載せます
特定のFTPクライアントにパスワードを保存している状態でマルウェアに感染すると、
感染状態でFTP接続しなくてもパスワードを盗まれる危険があり、そのクライアントの中にFFFTPが含まれる。"
http://twitter.com/bulkneets/status/8412642399
"「CuteFTPやFFFTPが保存したパスワード情報が盗まれる」と「WinPcapでftpパケットを見られる」のを区別して書かないからダメなんじゃね”
確かに分りにくかったかもしれない。
話が繋がってるから区別して書きにくいなー。
1.FTPという通信方式自体が、パケットを見られるとパスワードやアカウント、通信内容が簡単に盗られる
なぜなら暗号化してないから
"そもそもFTPなんか使うな" と言ってる人達が問題にしてるのはここ
2.マルウェアに乗っ取られたら・・・
i. パケットは見放題なので、FTP使って通信したらパスワードとか盗られる
ii.キーボードで何を打ったかも分かるので、パスワードを入力した時点で盗られる
"マルウェアに乗っ取られた時点でFTPだろうがなんだろうがパスワード盗られるよ" と言ってる人たちが問題にしてるのがここ
iii.パソコンに保存してあるファイルもレジストリの情報も盗られまくる
今回の騒ぎの発端はここ
過去に使ってたID/パスワードが残ってたら、FTPで通信をしなくても盗られる
FFFTPや他のソフトがパスワードを保存しているレジストリやファイル、それ自体が狙われた、って話だね
"FFFTPでパスワードをINIに保存すれば良いという主張にもツッコんでおいて欲しいなあ"
http://twitter.com/KKI/status/8416101308
TL検索したら「INIファイル保存でいいみたいだ、FFFTPに戻るわ」って書いてあった
上に書いてある通り、亜種が出ればそのファイルが狙い打ちされるだけだよ
そして人気のあるマルウェアはすぐ亜種が出るよ
× 「FFFTPが危ない」はデマ ↓ ○ 「FFFTPだけが危ない」はデマ
正しい。 そして「FTPを盗聴して内容をネットに送信する」マルウェアは既にある。
初期のGumblerからすでにスニファ機能持ってたと思う
パスワード暗号化して保管してくれるようなパスワード管理ソフトつかうのがいいんじゃない? あと、Twitter?ブコメ?で「FFFTPがオープンソースだからセキュリティホールがみつかった...
そういうことじゃなくて、FTPの仕様がパスワードを平文で扱うって話じゃないの? FTPソフトが送ったデータを横取りすればパスワードまるわかりなんだよ
それはもうサーバ管理者に 「FTPS(FTP over SSL)にしてくれ。 パスワード平文で流れるFTPなんて使ってられないよ」って訴えるしかないんじゃない? なんでこんなセキュリティ・セキュリ...
over SSL って大変じゃね? 証明書とかちゃんとしないと
今さきFTP、暗号化でグーグル先生に聞いて、書いたからFTPS(FTP over SSL)とSFTP(SSH FTP)の違いがよく分かってない。 SFTPの方が楽ならそっちでもいいし。とくにFTPSにこだわりがあったわけじ...
HTTPSと違って不特定多数に向けたものではないから、証明書の管理はラフで良く、買ったりする必要はない。 例えば第四種オレオレ証明書を使ったFTPSとかでも良い。もともとSSH/SFTPはそ...
パスワード平文って書いたけど、Base64 でエンコードされてるような期がしてきた。 グーグル先生に聞いてみたけど、答えたどりついてないや。 エンコードなんて暗号じゃないし、特別...
感染された時点でなにされてもおかしくないのにFFFTPがどうのとか・・・小一時間 などと罵倒しつつ、俺は書くの面倒だから2chからコピペですます。亜種でたら対策も変わるので注意ね...
まとまった情報Thx わりあい早い段階でid:tailtamesさんが適切な突っ込みしてたのに、このツリーの最初の投稿している増田はとりあげないとかどういうこと思っていた。 id:tailtamesさんの...
FTP意外も危ない。 典型例はメールだ。 これも暗号化されてない。 しかも設定状況によってはパスワードも平文で流れてしまう。
21
