- F!XMBR - http://www.fixmbr.de -

FileZilla — die Arroganz der Macht?

FileZilla LogoIch schwöre ja mittlerweile als FTP-Client auf FileZilla [1]wie hier nach dem Release der neuen Version erwähnt [2]. Doch heute hatte ich wieder so ein Aha-Erlebnis , wo ich mich frage: Ist es für mich als Mensch, der von Programmierung ebenso wenig Ahnung hat wie vom Stricken, nicht völlig egal, ob ich mich von Closed Source abhängig mache oder bei Open Source von einer arroganten und überheblichen Community-Führung? In beiden Fällen bin ich auf die Software angewiesen, die mir geliefert wird, in beiden Fällen muss ich ob meiner Unkenntnis den jeweiligen Projekten vertrauen. Wenn ich aber bei unterschiedlicher Software dann jeweils ein Problem habe, besteht meiner Meinung nach schon ein kleiner Unterschied.

Bei Open Source kann ich — auch mit harten Worten — kritisieren, setze mich im Gegenzug aber immer ein stückweit der Gegenkritik aus, mach es besser, Du bekommst es umsonst. Bei Closed Source ist dem nicht so, da bin ich im Regelfall als Kunde König. Man erfüllt mir entweder meinen Wunsch, oder ich wechsle die Software (ja, auch Open Source kann ich in die Tonne treten, wenn es mir nicht gefällt, ich weiß). Ich setze mich selbst aber als Kunde keiner Kritik à la beser machen aus. Ich weiß, das ist jetzt mal als ganz einfacher Tunnelblick dargestellt — natürlich gibt es bei der Wahl zwischen Closed Source und Open Source auch weitere Punkte zu beachten. Das hat aber durchaus seinen Grund, warum ich das hier so plastisch und einfach darstelle. Keine Diskussion also bitte darüber… 😉

Ich sitze mal wieder fassungslos vor dem Recher und bin am Tippseln. Wie gesagt, ich liebe meinen FileZilla. Selbst die Server-Variante lief schon mal über Monate hier auf meinem Rechner als Team-Server — die Leute, die beim Desert Inn dabei waren, können sich mit Sicherheit noch daran erinnern. 😉 Ich habe durchaus den einen oder anderen in meinem Bekanntenkreis an FileZilla herangeführt — eigentlich könnte alles gut sein. Eigentlich. Heute habe ich mal wieder meine Festplatte gesäubert. Programme, die nicht benötigt wurden, deinstalliert, TMP-Dateien gelöscht, das kpl. Programm bis hin zur Defragmentierung. Und wie das so ist, zufällig stolpert man über eine Datei, schaut hinein und traut seinen Augen nicht. FileZilla 3.0 speichert die Serverdaten in der Datei:

C:\Dokumente und Einstellungen\Benutzername\
Anwendungsdaten\FileZilla\sitemanager.xml
.

Soweit, so gut. Ich lade also diese Datei in meinen UltraEdit — und mich trifft der Schlag:

FileZilla Sitemanager

Ja, Ihr seht richtig — FileZilla speichert die Passwörter locker-flockig im Klartext ab. Und nein, es ist nicht nur bei Mozilla oder anderen Servern, die einen anonymen Zugang gewähren, der Fall — auch F!XMBR, .get privacy und andere FTP-Passwörter werden im Klartext angezeigt. Da musste ich natürlich erstmal im Internet auf Entdeckungsreise gehen — kann ja nun wirklich nicht sein, dass ich der Erste bin, dem das auffällt. Und richtig, ich war selbstvertändlich nicht der Erste. Tja, und was soll ich sagen? It’s not a Bug — it’s a Feature. Ich spaße bei sowas nicht, es ist wirklich genau so gewollt. botb, seines Zeichens Admin im FileZilla-Forum schreibt zu dem Feature [3]:

This is by design. It’s the task of the operating system to protect the user’s files.

Es gibt natürlich nicht nur diese arrogante Antwort oder gar ein Because it’s pointless. End of discussion — nein, auch eine Erklärung gibt es [4]:

So, let’s say FileZilla would obfuscate it’s passwords. What would that change? Instead of the raw passwords, an attacker gets the obscured password. Since FileZilla is open source, he would just look at the source and *ding* he has the original password. And in case of proprietary software he still has the source. Take a disassembler and *ding* again original password. And that doesn’t even consider tools specialized in unobfuscating passwords which known the obfuscation schemes of most programs.

Ich glaube, den wenigsten Leuten geht es da um die bösen Hacker, btw. Hacker sind nicht die bösen, aber das ist noch eine andere Baustelle. Es geht um die liebe Familie, die wunderbaren Freunde oder oder um andere Personen, die aus welchen Gründen auch immer Zugriff auf den gleichen Rechner haben, wie der FileZilla-User. Von diesen Leuten werden die wenigsten die Kenntnis haben, das verschlüsselte Passwort wieder umzuwandeln — manche werden aber wissen, wo sie die FTP-Daten des Hausherrn finden können und wie sie einen FTP-Client zu bedienen haben. Aber in seiner unglaublichen Arroganz zieht der Admin botg das Offensichtliche nicht in Betracht — geschweige denn, dass er das wirkliche Problem dieses netten Features erkennt. Sowas lässt mich dann immer mit dem Kopf schütteln und beweist dann doch immer wieder, dass ich in manchen Dingen einfach zu naiv bin. Wenn auch in einem anderen Zusammenhang, so schrieb ich doch zu FileZilla nach dem Release 3.0 [5]:

Da aber OpenSource, vertraue ich den Leuten schon, sonst hätte es schon lange einen Aufschrei der Community gegeben. 😉 Da habe ich keine Lust und Zeit, mir Gedanken oder gar Sorgen drüber zu zu machen.

Tja, so kann man sich täuschen.…

Jetzt kann ich mir auch ungefähr vorstellen, warum es auf PortableApps.com [6] noch nicht das neue Release gibt — neben fehlenden Features, die manche User in der 2’er-Version liebgewonnen haben, ist das sicherlich auch ein Sicherheitsrisiko par excellence — man stelle sich nur mal vor, man verliert mit diesen Daten den USB-Stick. Für mich gibt es da nur eine Konsequenz: FileZilla wird nur noch an dem Rechner genutzt, an dem ausschließlich meine Wenigkeit Zugriff hat und weiterempfehlen tue ich ihn nicht mehr. Und ich werde mal wieder die eine oder andere Software testen — das kann ja auch nicht verkehrt sein. 😉

It’s not a Bug — it’s a Feature — ich fass das nicht, das will einfach nicht in meinen Kopf rein… :roll: