Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: FileZilla 3.43.0

FileZilla logo (75 pix) Versie 3.43.0 van de opensource-ftp-client FileZilla is verschenen. FileZilla is klein, simpel en toch compleet. Het programma is populair vanwege de geringe belasting van de systeembronnen. FileZilla is beschikbaar voor Windows, Linux en macOS. Sinds versie 3.26.0 worden wachtwoorden nu ook versleuteld en beveiligd op de computer opgeslagen. Tegenwoordig is er ook een Pro-versie, die tegen een kleine vergoeding ondersteuning biedt voor diverse online opslagdiensten.

Wees voorzichtig met het 'aanbevolen' downloadbestand, want dat wordt gebundeld met software van derden. Op deze pagina zijn installatiebestanden te vinden die geen extra componenten bevatten. Een verkeerde installatie is overigens eenvoudig te herkennen aan het woord bundled in de bestandsnaam. Sinds de eerste release candidate zijn nog de volgende veranderingen aangebracht::

Fixed vulnerabilities:
  • Filenames containing double-quotation marks were not escaped correctly when selected for opening/editing. Depending on the associated program, parts of the filename could be interpreted as commands.
Bugfixes and minor changes:
  • Added a second layer of authentication to the update mechanism
  • Rebuilt against libfilezilla 0.17.1
Versienummer 3.43.0
Releasestatus Final
Besturingssystemen Windows 7, Linux, macOS, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016
Website FileZilla
Download https://filezilla-project.org/download.php?show_all=1
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

27-06-2019 • 20:20

8 Linkedin Google+

Bron: FileZilla

Reacties (8)

Wijzig sortering
Sinds versie 3.26.0 worden wachtwoorden nu ook versleuteld en beveiligd op de computer opgeslagen.

Dat heb ik altijd al vreemd gevonden dat ze in plaintext te vinden waren. Regelmatig ook handig, maar toch fijn dat ingevoerde wachtwoorden nu niet zomaar uit te lezen zijn.
Velen en ook ik hebben discussies gevoerd met de ontwikkelaar hierover. Zijn visie was dat als men jouw config bestand kon stelen, je andere security issues had en hij voelde zich niet verantwoordelijk daarvoor. Uiteindelijk door de druk van de community toch toegegeven eraan, maar daarvoor was wel een patch nodig die een van de users heeft gemaakt. Hoeveel code uiteindelijk van die patch is gebruikt weet ik niet, maar het heeft toch een aantal jaren geduurd. Ontzettend koppige developer. Ben uiteindelijk ook gewoon overgestapt naar een andere client.
Waar ik mij nog steeds gigantisch aan stoor, is dat er geen automatische update feature in zit. Elke keer als ik de applicatie open, popup met 'nieuwe versie beschikbaar'. Moet ie gedownload worden, applicatie moet ik sluiten, downloads folder openen, filezilla slepen naar applications en weer openen. Het zijn teveel handelingen om vrijwel elke twee weken te moeten verrichten.
Ik vind het update systeem prettig.
Ik hoef ook niet perse iedere update.
Je kunt het ook op 'niet updaten' zetten.
En al die handelingen, komen me onbekend voor.
De update staat vooraf al klaar.
Na het drukken van de update toets, is het in een flits gebeurt.
Tegen argumenten waren en zijn nog steeds; als je fysieke toegang hebt tot de machine, dan kun je meer doen dan alleen wat wachtwoorden stelen.
Verder zover ik weet worden wachtwoorden ook niet in het geheugen versleuteld, dus daar kun je als jeje best doet ook gewoon bij.
Zijn argument was ook als je echt veiligheid wilt en je eigen machine niet vertrouwd, draai de applicatie dan in een crypto volume in een virtual machine, dan kun je wel scheiding en beveiliging garanderen.
De implementatie die er heerst is al een aantal malen aangepast om het kwetsbaarheden uit te halen. Zijn argument was daarom ook, als je het in bouwt, dan gaan mensen verwachten dat je veilig bent en het goed werkt, maar het is een FTP client, geen crypto kluis, dus encryptie zal altijd een ondergeschikt belang zijn aan de werking van de applicatie, dus is het een vorm van schijn veiligheid tot er voldoende tijd en aandacht aan een goede implementatie wordt gestoken.

Verder, was mijn argument gebruik voor dit soort applicatie een wachtwoord kluis en neem die alleen als je ze nodig hebt in applicatie over en / of gebruik certificaten en leg niet alle veiligheidsverwachtingen bij een applicatie neer die als doel heeft (beveiligde) verbindingen over verschillende protocollen te garanderen. En waar account management er in zit en werkt, maar nooit bedoeld is als account / wachtwoord kluis.
Akkoord, maar die argumenten gaan ervan uit dat elke hacker dezelfde kennis heeft. Wat nou als je een script kiddie bent die via een tutorial online toegang heeft gekregen tot jouw computer; die weet wel waar de filezilla passwords staan, maar niet hoe een geheugendump gemaakt moet worden. Met elke laag beveiliging wordt een bepaalde groep kwaadaardigen tegengehouden. Als je jouw argument toepast op alle software, dan heeft het allemaal geen zin want uiteindelijk kun je nooit 100% veiligheid garanderen...
Mijn logica is, gebruik geen kapotte sloten en roestige kettingen,
maar gebruik beveiligingsmiddelen die cordaat zijn voor de toepassing die je hebt.

Als je wachtwoorden je niet interesseren, dan doe je niets.
Als je een script kiddie wilt tegen houden, gebruik losse WW's en een VM .
Als je echt veiligheid wilt, draai het geheel in een beveiligde VM met full disk encryptie op beide lagen, zorg dat er security hardening op die VM zit zoals geheugen scrambling en encryptie en doe je verbindingen over VPN.

Het toevoegen van schijn veiligheid zorgt er in praktijk voor dat mensen "denken" dat ze veilig zijn door het zo te gebruiken, maar vervolgens worden gepakt als het wel belangrijker wordt.

Het gaat me om het gemakshalve.
Als het mogelijk zou zijn, zou het bijvoorbeeld goed zijn als het OS of een soort gedeelt pakket elke applicatie een API toegang zou geven die je moet bevestigen met je eigen OS account gegevens, waarbij wel de veiligheid wordt gewaarborgd en constant alleen maar wordt geinvesteerd om de beveiliging van die vault te verbeteren. Inplaats van dat elke applicatie zijn eigen wachtwoord manager gaat proberen te implementeren waar dat je ziet dat de kleinste fout kan zorgen voor een gat waardoor als nog al die wachtwoorden uitlekken.

[Reactie gewijzigd door NEO256 op 29 juni 2019 17:17]

Ontzettend koppige developer
Klopt. Hij weigert ook Filezilla beschikbaar te maken in de Windows Store. Met alle voordelen van dien, maar hij weigert die in te zien en blijft koppig zijn applicatie aanbieden via de "reguliere" manieren. Met alle gevolgen van dien.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True