FailZilla, pun intended

Dedichiamo questo lunedì prima delle vacanze ad una questione gravissima per qualunque piccolo webmaster come me, ma anche per un webmaster un po’ più di successo ma non eccessivamente “tecnico”.

filezilla-telecharger-gratuit

Chiunque gestisca un sito internet dal proprio computer avrà almeno sentito parlare del popolarissimo programma FTP FileZilla. Io lo conoscevo già da tempo, lo usavo per caricare  piccoli file di backup su un dominio altervista, ma ho iniziato ad apprezzarne le comodità da quando ho acquistato il dominio su cui adesso si trova il blog. Consigliato anche da Aruba stessa, è sicuramente il migliore della piazza. O, per meglio dire, era.

Era, perché ho scoperto oggi un fatto gravissimo e sorprendente: FileZilla salva tutte le credenziali di accesso ai vostri server in un semplicissimo file xml non criptato. Potete verificare voi stessi andando a controllare, ad esempio su Win7, nella cartella

\AppData\Roaming\FileZilla\sitemanager.xml

Anche se disinstallate FileZilla il file di testo resta lì, facile preda del più scrauso dei pirati informatici. È vero, non sono cose che capitano tutti i giorni, ma è comunque sorprendentemente facile finire preda di qualche trojan, al giorno d’oggi.

E se fosse un bug? E invece no. Il problema, perché di problema si tratta, è ben noto agli sviluppatori da almeno sei anni. Solo che per gli sviluppatori non è un problema, loro questa cosa la fanno apposta. Il loro discorso sembra anche comprensibile, ma alla fine suona un po’ così

A che pro mettere una serratura alle porte di casa? I progetti delle serrature non sono segreti, quindi basta guardarli per capire come fare la chiave. E se anche ci fosse la serratura, esistono i passpartout che aprono ogni porta. Quindi noi non mettiamo serrature.

in una versione molto parafrasata, ma il concetto è quello. Sinceramente a me sembra una follia.

Detto questo, sotto consiglio di più esperti sono passato a WinSCP, valida alternativa a FileZilla che ho provato per una decina di minuti senza incontrare particolari difficoltà. E nell’immagine sotto potete leggere quello che si troverebbe chiunque mettesse mano sul mio sitemanager.xml.

Cattura