Sicherer Umgang mit Filezilla

Filezilla ist ein bekannter Open-Source FTP-Client, bei dem der Anwender Dateien mittels FTP oder SFTP vom lokalen Rechner auf einen Server im Internet übertragen kann. Der Client läuft sowohl auf Windows-Systemen, wie auch auf Mac OS und Linux.

Allerdings hat Filezilla ein großes Sicherheitsproblem, dem sich der Anwender stellen muss. Die Passwörter für die Serververbindungen werden unverschlüsselt im Klartext in XML-Dateien abgespeichert!

This is by design. It’s the task of the operating system to protect the user’s files.

Laut Entwickler ist das also so beabsichtigt, da für die Sicherheit der privaten Daten das Betriebssystem zuständig ist. Aus Sicherheitsaspekten ist dies allerdings inakzeptabel, da es für Schadsoftware (wie z.B. Gumblar aka Troj/JSRedir-R) somit ein leichtes ist, an die Verbindungsdaten zu gelangen und mit Hilfe dieser Daten Webseiten gehackt werden können.

Zugangsdaten im Klartext werden in XML-Dateien abgespeichert

Die Zugangsdaten werden in zwei bestimmten XML-Dateien abgelegt. In der sitemanager.xml und der recentservers.xml. Die Dateien liegen in folgenden Verzeichnissen:

  • “C:\Dokumente_und_Einstellungen\Benutzername\Anwendungsdaten\Filezilla” (Windows XP)
  • “C:\Users\Benutzername\AppData\Roaming\FileZilla” (Windows Vista/7)
  • “~/.filezilla” (Linux / Mac OS)

Die sitemanager.xml wird erzeugt, wenn Sie eigene Server im Servermanager anlegen und speichern.

sitemanager.xml

Das unverschlüsselte Passwort in der sitemanager.xml

Die recentservers.xml wird angelegt, wenn Sie die Quick-Connect-Funktion in der Toolbar oben im Filezilla nutzen. Hier legt das Programm ungefragt die Daten ebenfalls unverschlüsselt in einer XML-Datei ab.

recentservers.xml

Das unverschlüsselte Passwort in der recentservers.xml

Überprüfen Sie Ihre Einstellungen im Filezilla

Um dieses Sicherheitsrisiko zu vermeiden, sollten Sie grundsätzlich keine FTP-Verbindungen im Servermanager abspeichern und in den Einstellungen dem Programm explizit mitteilen, Ihre Passwörter nicht automatisch zu speichern. Dies können Sie im Menüpunkt BearbeitenEinstellungen unter OberflächePasswörter nicht speichern umsetzen.

Sollten Sie Filezilla bereits nutzen, können Sie mit BearbeitenPersönliche Daten löschen den Quickconnect-Verlauf und die Servermanager-Einträge entfernen. Damit werden die beiden oben genannten XML-Dateien geleert und die Einträge gelöscht.

Filezilla-Einstellungen

Passwortspeicherung deaktivieren

Einrichtung der Auto-Type-Funktion von KeePass für FileZilla

Wir empfehlen zur Passwort-Verwaltung den Einsatz von Passwort-Safes, wie z.B. KeePass in Verbindung mit einem komplexen Master-Passwort. Mit Hilfe der Auto-Type-Funktion lässt sich der Quick-Connect in der Toolbar von Filezilla schnell und einfach zum Verbinden von FTP-Servern verwenden. Erstellen Sie einfach einen neuen Eintrag in Ihrer KeePass-Datenbank und setzen Sie folgende Einträge:

  • Im Feld Benutzername wird der Login des Benutzers für den Server hinterlegt
  • Im Feld Passwort das zugehörige Zugangspasswort des Benutzers
  • Im Feld URL hinterlegen Sie die Server-Adresse

Zuletzt tragen Sie im Kommentarfeld folgenden beiden Zeilen ein:

Auto-Type: {URL}{TAB}{USERNAME}{TAB}{PASSWORD}{ENTER}
Auto-Type-Window: FileZilla
KeePass Einstellungen

KeePass für die globale Auto-Type-Funktion konfigurieren

Wenn Sie nun Filezilla starten und die globale Auto-Type-Funktion des KeePass nutzen (standardmäßig STRG-ALT+A) dann füllt das Programm automatisch alle drei benötigten Felder in der Quick-Connect-Toolbar aus und startet die Verbindung mit dem Server.

Egal mit welchem FTP-Programm Sie Ihre Webseite administrieren, Passwörter im Klartext sollten grundsätzlich nicht auf Ihren Rechner abgespeichert werden!

28 thoughts on “Sicherer Umgang mit Filezilla”

  1. Hm.., wurde schon 2007 gepostet, kommt ein bißchen spät. Wenn man Filezilla weiter benutzen will, ist vielleicht folgendes ein Weg: Filezilla als portable App in einem TrueCrypt-Container, dass dann über 2 KeePass-Einträge mit cmd-URL gemountet und dismounted wird. Hilft natürlich nicht, wenn der Container gemountet ist und jemand die XML-files abgreift.

    1. Hallo hfaleser,

      vielen Dank für Dein Feedback. Du hast recht, das verlinkt Statement ist von 2007 – umso erstaunlicher, dass FileZilla bis heute scheinbar immer noch dieser verstaubten Ansicht ist, dass Passwörter im Klartext abgespeichert werden dürfen; insbesondere da 2010 Gumblar un Co. es explizit auf FileZilla-Passwort-Daten abgesehen hatten.

      Deinen Hinweis, dass man FileZilla auch mittels PortableApps & TrueCrypt-Container absichern kann finde ich gut. Ich denke wir machen hierzu einen gesonderten Beitrag und beziehen dort auch Thunderbird, FireFox mit ein. 😉

      Grüße,
      TK, ABBZ

    2. Einen Nachtrag hab ich noch…
      Normalerweise muss man ja keine Passwörter speichern. Aber wenn man einen Proxy benutzen will/muss, kommt man nicht umhin, zumindest das Proxy-Passwort zu speichern.

  2. Ich habe früher auch immer filezilla für meine Projekte benutzt bis ich 2x Opfer einer Hackerattacke wurde und die Webseiten manipuliert wurden. Seitdem nutze ich NUR noch die Portable Version und habe keine Probleme mehr.

  3. Bei aller Energie zur Vorsorge und Aufklärung – das ist immer noch (vielleicht schon immer) für Otto-Normaluser alles zu kompliziert, den Marketing-Strategen sei dank. Weder will er sich mit .xml noch mit überhaupt irgendeiner Datei in irgendeinem Verzeichnis noch mit anderweitigen Tools wie z.B. den genannten Passwort-Safe auseinandersetzen. Grundsätzlich finde ich den Gedanken hinter Botfrei gut und alles insgesammt für Sinnvoll – die Zielgruppe derer die keinen Plan haben, keinen Plan haben wollen und denen Technik am allerwertesten Vorbeigeht, die kriegt ihr so definitiv nicht. Am Ende ist sowieso dann der Support irgendeines ISP oder Hosters an allem Schuld. So sieht die Realität aus.

  4. Hallo,

    danke für den Tipp!

    Da ich SFTP Verbindungen nutzen möchte, habe ich das Ganze erweitert:

    %p{TAB}{TAB}{ENTER}”q”%rsftp://{UserName}@{URL}{TAB}{UserName}{TAB}{PASSWORD}{ENTER}

    Erläuterung:
    * ich lösche den alten Eintrag (%p{TAB}{TAB}{ENTER}”q”)
    * und gebe dann die Daten für einen SFTP an

    Im KeePass habe ich eine eigenen Gruppe angelegt. Dieser kann man die Autosequenz hinterlegen, dann wird diese an alle Einträge vererbt.

    Dann ist es einfacher mal was zu ändern.

    Danke

    PS: 🙁

    Warum ist mein Beitrag weg wenn ich mich wegen der Mailadresse vertippt hatte?
    Musste alles nochmal schreiben ….

  5. Ein sehr richtiger Punkt, der angesprochen wird, allerdings nicht wirklich auf FileZilla beschränkt. Jedes Programm, das ohne weiteres (also ohne Master-Passwort o. Ä.) Passwörter abspeichert, kann das iirc nicht verschlüsselt tun. Die Nutzung von TrueCrypt ist allerdings ein guter Tipp, wenn man nicht drauf verzichten will.

  6. Hallo,

    ich nutze eine etwas andere Lösung, ich verzichte auf das AutoType indem ich die Platzhalter für Login und Passw0rt direkt in die URL einbaue. Das sieht dann so aus:

    Windows 7:
    cmd://”C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe” ftp://{USERNAME}:{PASSWORD}@ftpserver.de:21

    Linux:
    cmd://”/usr/bin/filezilla” “ftp://{USERNAME}:{PASSWORD}@ftpserver.de:21”

    Mit einem Doppelklick auf die URL im Keepass starte ich den FTP Client und er öffnet gleich die richtige Verbindung. 🙂

    greez
    Steffy

  7. Der letzte Eintrag ist zwar aus Januar, aber vielleicht ist für den ein oder anderen Linuxuser auch das interessant:

    Ich verschlüssele hier mit gpg (gpg -c dateiname) eine Datei mit folgendem Inhalt:

    #!/bin/bash
    filezilla ftp://user:password@server:port

    Es entsteht die Datei “dateiname.gpg”, die Ursprungsdatei wird gelöscht.

    Zweites Script, z.B. server_1.sh:

    #!/bin/bash
    gpg -d /home/pfad/zum/script/dateiname.gpg > /home/pfad/zum/script/filezilla.sh
    chmod +x /home/pfad/zum/script/filezilla.sh
    /home/pfad/zum/script/filezilla.sh
    rm /home/pfad/zum/script/filezilla.sh

    Das Script entschlüsselt die 1. Datei als “filezilla.sh”, macht sie ausführbar, ruft Filezilla auf, stellt die Verbindung zum Server her und löscht anschließend die Datei wieder.

    Das Ganze als Starter im Menü kostet mich also genau einen Klick, um die Verbindung zum Server herzustellen.

    Vielleicht gibt es ja für Windows eine ähnliche Möglichkeit.

    Tom

  8. Frage eines eher unexperienced users: Benötigt man Filezilla den unbedingt? Was geschieht, wenn ich ihn deinstalliere? Wird irgendetwas schlechter, langsamer, unsicherer..? Grüße,
    Uorg

    1. Hallo Uorg,

      Filezilla ist ein FTP Client. Wenn er deinstalliert wird kannst du ihn nicht mehr verwenden um Dateien auf einen FTP Server hoch- bzw. herunterzuladen. Ansonsten hat eine Deinstallation keine Auswirkungen auf andere Bereiche deines Systems.

      Grüße,
      GR

    2. außer, dass nach der Deinstallation die xml files im roaming ordner (win7) erhalten bleiben. sollte man im hinterkopf behalten.

  9. Hallo,
    auch wenn der Beitrag etwas älter ist, wollte ich jedoch noch Anmerken, dass es zum einen den Filezilla Entwicklern gegenüber nicht fair und für unbedarfte Benutzer etwas irreführend formuliert ist, weil nur auf die im Klartext gespeicherten Passwörter eingegangen wird.

    Ich finde es nicht deutlich genug geschildert, dass es völlig egal ist auf welche Weise Passwörter verschlüsselt gespeichert werden, solange kein Masterpasswort oder ähnliche Konzepte vorgeschalten werden um diese zu entschlüsseln.

    Jede Schadsoftware kann, egal wie stark verschlüsselt Passwörter gespeichert werden, diese genauso schnell entschlüsseln wie das Programm selbst, natürlich immer nur dann, wenn keine weitere geheimen Benutzereingabe, Dongles, Usb Stick, etc. für diesen Vorgang nötig sind.

    Denn bei Passwortdateien die nicht durch Masterpasswörter, oder ähnliche Konzepte geschützt sind, ist es ist ja zwangsläufig so, dass der Schlüssel um die Daten zu entschlüsseln irgendwo für den ausführenden Benutzer zugreifbar gespeichert sein muss. Die Filezilla Dateien mit den Passwörtern befinden sich in geschützten Benutzerverzeichnissen und wenn eine Schadsoftware Benutzerberechtigungen unterwandern kann um eben diese Dateien auszulesen kann diese Schadsoftware natürlich auch die Datenquelle mit dem “Masterschlüssel” auslesen.

    In welchem Verzeichnissen sich diese Dateien befinden und auf welche Art diese verschlüsselt sind kann man bei einer Open Source Software Lösung nunmal leicht herausfinden.

    Wollte ich nur erwähnt haben, weil ich finde das es wichtig ist, dass sich jeder Benutzer darüber im klaren ist, der überhaupt Passwörter speichert.

    1. Hallo Stefan,

      danke für deinen Beitrag. Es ist nun mal so, dass Filezilla, FTP u.a. die Zugangsdaten in Klarschrift auf den Rechner ablegen. Und dieses läßt sich mit z.B. Keepass relativ einfach “sicherer” gestalten.

      Grüße,
      TB, botfrei.de

  10. Warum nicht einfach auf WinSCP umsteigen? Ist kein großer Unterschied zu Filezilla und speichert die Passwörter nicht unverschlüsselt und ungeschützt…

    1. Hallo MR

      hab ich auch schon gedacht, aber wenn es jemand darauf abgesehen hat, kann man hier genauso die Daten stehlen. Man braucht nur die ini Datei und tut sie auf seinem Rechner in ein installiertes WinSCP. So hab ich es zumindest gelesen, da man so bei einem Serverumzug vorgehen sollte.

      Ich denke genauso lassen sich auch die verschlüsselten Einträge in der Registry auslesen, dann einfach ein weiteres Installieren und schon hat jemand die Daten.

      Irgendwie finde ich einfach keine sichere aber komfortable Lösung. Für Ideen wie man WinSCP besser absichern kann, wäre ich dankbar. Ggf. die Portable Version in einem TrueCrypt Container speichern?

      Gruß, Verena

    2. Hi Verena & MR,
      WinSCP ist leider nicht so konfortabel und wesentlich langsamer als FileZilla. Das ist sehr schade, weil ich seit Jahren FileZilla aus gutem Grunde gänzlich verbannt habe.
      Die Tipps sind hilfreich und animieren mich zur Wiederinstallation.
      Allerdings muss ich WinSCP in Schutz nehmen, wenn ohne Masterpasswort kommt man nicht an die einzelnen FTP-Passwörter ran (ausser, man beginnt erfolgreich zu decrypten).
      WinSCP ist also save bzw. hat einen Safe.

      Cheers, Th.

  11. Vielen lieben Dank für die Sensibilisierung und die Erläuterung. Ich habe es zwar nicht geschafft, dass die Daten von KeePass in Filezilla übernommen werden, aber das ist nur halb so wild. So oft muss ich ja nicht auf den FTP-Server; dank WordPress spielt sich bei mir eh fast alles im Browser ab.
    Mir ist aber aufgefallen, dass FileZilla trotzdem die letzten Verbindungen speichert. Mit Server und FTP-Benutzername. Nur das Passwort fehlt, was ja auch das wichtigste ist. Dennoch würde ich auch gerne schon verhindern, dass der FTP-Benutzername in der recentservers.xlm gespeichert wird. Ist das wohl auch möglich? Oder muss ich dazu nach jedem Gebrauch die “Persönlichen Daten” löschen?

  12. Moin moin, wir haben uns mit diesem Problem auseinadner gesetzt und ein kleines “Plugin” dazu programmiert. Dabei wird vom Benutzer ein einmaliges festes Passwort verlangt, dieses Passwort benötigt das Plugin und die Server Login Daten in AES zu verschlüsseln. Das Plugin ist sehr effektiv, klein und kostenlos.
    Ihr könnte es euch ja mal anschauen und ggf. ein kommentar oder kritikpunkte geben.

    Mit freundlichen Grüßen,
    Harry Machura

  13. habe mich nun für die Variante Filezilla Portable + VeraCrypt entschieden. Recht easy in der Einrichtung, am Handling von FZ ändert sich nichts. Nach dem Export/Import/Deinstallation der nicht Portable-Version darf man das sichere Löschen der alten konfig/xml Files nicht vergessen. Die Pfade sind hier im Artikel beschrieben.

  14. Hallo Herr Machura,
    ich habe mir das Plugin auf Ihrer Website angeschaut. Das sieht sehr gut aus.
    Allerdings kann ich dies nicht installieren, mein Virenprogramm springt an und löscht die Datei.
    Ich habe die Datei online checken lassen diese wird als infiziert angezeigt.

    “HEUR/QVM03.0.Malware.Gen”

    Vielleicht können Sie das ja beheben, da ich das Plugin für sehr sinnvoll halte.

    Viele Grüße
    Frank Wagner

  15. Ich würde es begrüßen, wenn der Text angepasst wäre.
    Passwortspeicherung lässt sich NICHT deaktivieren – diese Option gibt es nicht mehr (ver 3.19.0)

Kommentare sind geschlossen.