Filezilla ist ein bekannter Open-Source FTP-Client, bei dem der Anwender Dateien mittels FTP oder SFTP vom lokalen Rechner auf einen Server im Internet übertragen kann. Der Client läuft sowohl auf Windows-Systemen, wie auch auf Mac OS und Linux.

Allerdings hat Filezilla ein großes Sicherheitsproblem, dem sich der Anwender stellen muss. Die Passwörter für die Serververbindungen werden unverschlüsselt im Klartext in XML-Dateien abgespeichert!

This is by design. It’s the task of the operating system to protect the user’s files.

Laut Entwickler ist das also so beabsichtigt, da für die Sicherheit der privaten Daten das Betriebssystem zuständig ist. Aus Sicherheitsaspekten ist dies allerdings inakzeptabel, da es für Schadsoftware (wie z.B. Gumblar aka Troj/JSRedir-R) somit ein leichtes ist, an die Verbindungsdaten zu gelangen und mit Hilfe dieser Daten Webseiten gehackt werden können.

Zugangsdaten im Klartext werden in XML-Dateien abgespeichert

Die Zugangsdaten werden in zwei bestimmten XML-Dateien abgelegt. In der sitemanager.xml und der recentservers.xml. Die Dateien liegen in folgenden Verzeichnissen:

  • “C:Dokumente_und_EinstellungenBenutzernameAnwendungsdatenFilezilla” (Windows XP)
  • “C:UsersBenutzernameAppDataRoamingFileZilla” (Windows Vista/7)
  • “~/.filezilla” (Linux / Mac OS)

Die sitemanager.xml wird erzeugt, wenn Sie eigene Server im Servermanager anlegen und speichern.

sitemanager.xml

Das unverschlüsselte Passwort in der sitemanager.xml

Die recentservers.xml wird angelegt, wenn Sie die Quick-Connect-Funktion in der Toolbar oben im Filezilla nutzen. Hier legt das Programm ungefragt die Daten ebenfalls unverschlüsselt in einer XML-Datei ab.

recentservers.xml

Das unverschlüsselte Passwort in der recentservers.xml

Überprüfen Sie Ihre Einstellungen im Filezilla

Um dieses Sicherheitsrisiko zu vermeiden, sollten Sie grundsätzlich keine FTP-Verbindungen im Servermanager abspeichern und in den Einstellungen dem Programm explizit mitteilen, Ihre Passwörter nicht automatisch zu speichern. Dies können Sie im Menüpunkt BearbeitenEinstellungen unter OberflächePasswörter nicht speichern umsetzen.

Sollten Sie Filezilla bereits nutzen, können Sie mit BearbeitenPersönliche Daten löschen den Quickconnect-Verlauf und die Servermanager-Einträge entfernen. Damit werden die beiden oben genannten XML-Dateien geleert und die Einträge gelöscht.

Filezilla-Einstellungen

Passwortspeicherung deaktivieren

Einrichtung der Auto-Type-Funktion von KeePass für FileZilla

Wir empfehlen zur Passwort-Verwaltung den Einsatz von Passwort-Safes, wie z.B. KeePass in Verbindung mit einem komplexen Master-Passwort. Mit Hilfe der Auto-Type-Funktion lässt sich der Quick-Connect in der Toolbar von Filezilla schnell und einfach zum Verbinden von FTP-Servern verwenden. Erstellen Sie einfach einen neuen Eintrag in Ihrer KeePass-Datenbank und setzen Sie folgende Einträge:

  • Im Feld Benutzername wird der Login des Benutzers für den Server hinterlegt
  • Im Feld Passwort das zugehörige Zugangspasswort des Benutzers
  • Im Feld URL hinterlegen Sie die Server-Adresse

Zuletzt tragen Sie im Kommentarfeld folgenden beiden Zeilen ein:

Auto-Type: {URL}{TAB}{USERNAME}{TAB}{PASSWORD}{ENTER}
Auto-Type-Window: FileZilla
KeePass Einstellungen

KeePass für die globale Auto-Type-Funktion konfigurieren

Wenn Sie nun Filezilla starten und die globale Auto-Type-Funktion des KeePass nutzen (standardmäßig STRG-ALT+A) dann füllt das Programm automatisch alle drei benötigten Felder in der Quick-Connect-Toolbar aus und startet die Verbindung mit dem Server.

Egal mit welchem FTP-Programm Sie Ihre Webseite administrieren, Passwörter im Klartext sollten grundsätzlich nicht auf Ihren Rechner abgespeichert werden!