ช่วงนี้งานการเยอะมาก แต่ก็ยังคงอัพเดทข้อมูลอยู่ที่ http://fordantitrust.multiply.com/ สำหรับพวกงานด้านภาพถ่ายครับ ติดตามได้ที่ Multiply ครับ
เอ้ามาเข้าเรื่องกัน ที่จั่วหัวไปก็เพราะใน Developer Community ไม่สนใจที่จะแก้ไขปัญหาให้มีการ encrypted ข้อมูลใน sitemanager.xml ครับ
- http://forum.filezilla-project.org/viewtopic.php?f=1&t=11003&start=0
- http://forum.filezilla-project.org/viewtopic.php?f=1&t=12421
และกระทู้อื่นๆ อีกมากมาย
ปรกติผมมี CuteFTP อยู่แล้ว แต่ว่า FileZilla นั้นทำงานได้เร็วกกว่าในกรณีเร่งด่วนบางอย่าง แต่ตอนนี้คิดว่าทำไมต้องใช้ซอฟต์แวร์ที่มีความเสี่ยงต่อการโดน Hack ด้วย ?
ผมไม่เอาเว็บไซต์ต่างๆ ที่ผมดูแลอยู่มาเสี่ยงกับเรื่องไม่เป็นเรื่อง ตอนนี้เอาออกจากเครืองไปแล้วหล่ะครับ
คนที่ใช้ลองคิดๆ กันเอาเองกับความเสี่ยงครั้งนี้ครับ สำหรับผมถ้ายังไม่มีการแก้ไขจุดนี้ผมก็คงไม่ใช้ต่อไปเรื่อยๆ ครับ
มีโปรแกรมฟรีตัวไหนที่น่าใช้มาทดแทนไหมครับ
ว่าจะเลิกเหมือนกันตั้งแต่เจอกรณีไวรัส iframe ละ
ไวรัส iframe เป็นไงเหรอครับ
อย่าบอกว่า upload เว็บขึ้นไปแล้วมี iframe โฆษณาแถมมาให้ :o
มันจะติดตามเว็บบางเว็บที่มี malware นี้อยู่แล้วครับ แล้วมันจะเข้ามาหา FTP client บางตัวเพื่อแกะเอา host/user/pass ออกมาแล้วทำการ คนหาไฟล์ในเครื่อง server ที่มี host/user/pass อยู่แล้วทำการแทรก tag iframe เข้าไปในไฟล์พวก index.php, index.html หรือไฟล์พวก default page ต่างๆ ครับ ทำให้เว็บเราเป็นพาหะต่อไปครับ
ขอบอกว่า มันตอบได้กวนมาก ๆ
ไม่ทราบมีตัวไหนแนะนำบ้างไหมครับ?
ปล. ขอโทษที อันก่อนผมตอบ capcha ผิดแล้วไม่ได้ดูว่า ข้อความที่โพสมันเหลือแค่นั้น
ตอนนี้ใช้ CuteFTP Pro ที่ซื้อมาไปหล่ะครับ หรืออาจจะลอง Core FTP LE ดูก็ได้ ขนาดเล็กความสามารถพอใช้ได้เลย
ไปใช้แบบ Portable เอาได้ไหมครับ
ใช้แบบ portable ยิ่งอันตรายหนักเข้าไปอีก เพราะตัวไฟล์ sitemanager.xml มันอยู่ในตัว directory ใน portable app เลย หายไปหล่ะยุ่งแน่ๆ ครับ
แล้วจะแทนที่ด้วยตัวไหนเหรอครับ
เคยเห้น WinSCP มาตัวนึง ไม่เคยลอง
ผมใช้ CuteFTP Pro อยู่ครับ จริงๆ ใช้ควบอยู่ ตอนนี้เลยได้เวลาใช้ CuteFTP Pro อย่างเดียวแล้ว
filezilla เค้าก็ทำถูกแล้วไม่ใช่เหรอครับ?
การ encrypt password ใน password manager ของ opensource นั้น,
แทบจะไม่มีประโยชน์ในทาง security เลย, โดยเฉพาะจากพวก virus.
ก็มัน opensource, ดังนั้นแค่ copy module ที่ใช้ decrypt password ของ filezilla ออกมาก็ใช้ได้แล้ว.
คนเขียน virus ก็ copy module นั้นออกมาใส่ไว้ใน virus ของตัวเองได้.
แล้วถ้าใช้ proprietary software อย่าง cuteftp, จะมีอะไรรับประกันไหมครับ ว่าจะไม่มี trojan แฝงมา?
source code ก็ไม่มีให้ดู จะแน่ใจได้อย่างไรครับ?
ยิ่งบางคนใช้ cuteftp ของเถื่อนที่ crack มา, ก็ยิ่งเสี่ยงต่อ trojan มากขึ้น.
ประเด็นคือการไม่ encrypt ใน basic option ครับ ถึงแม้จะ weak encrypt ยังไงผมว่าก็ไม่ได้แกะง่ายๆ อย่าลืมว่าการ weak encrypt ยังดีกว่า plain text ปรกตินะ
ซึ่งการป้องกันที่ดี คือควรจะทำซะแม้จะมีสิทธิ์ที่จะโดนแกะได้ก็ตาม อุดเท่าที่ทำได้ เพราะการเข้ารหัสบางครั้งก็เพื่อถ่วงเวลา ให้สามารถเปลี่ยนแปลงข้อมูล หรือย้ายข้อมูลไปในที่ปลอดภัยให้ทันครับ มันไม่มีอะไรที่ป้องกันที่ดีที่สุด แต่เป็นสิ่งที่ควรจะทำสำหรับข้อมูลอย่างรหัสผ่านที่เข้าถึงเรืองสิ่งที่เราดูแลและทำมาหากินครับ
ส่วนใช้เถื่อนแล้วโดน hack อันนี้ช่วยไม่ได้ครับ ความเสี่ยงของใครของมัน แต่พอดีว่าผมซื้อใช้ !
การไม่ encrypt ใน foss ไม่ใช่เรื่องไม่เป็นเรื่อง, แต่มันมีเหตุผลของมัน.
อย่างที่ได้อธิบายไว้ใน link ที่ copy มาที่ว่า,
มันจะกลับเพิ่มความอ่อนทางด้าน security, ถ้าผู้ใช้เข้าใจผิด เห็นว่า มัน encrypt แล้ว เลยยิ่งวางใจ.
วางใจที่จะเก็บ passwd โดยเข้าใจผิดว่ามันจะ decrypt ได้ยาก.
(reply ผิดอันแฮะ, จริงๆ จะ reply อันล่าง, ที่มีข้อความอังกฤษที่ copy มา)
“All .fetchmailrc password encryption would have done is give a false sense of security to people who don’t think very hard.\’\’
(ข้อความที่อ้างถึง)
การ decrypt จาก opensource นี่ไม่น่าจะเรียกว่าไม่ได้แกะง่ายๆ นะ,
อันที่จริงมันถอดได้ง่ายเลยนะสิ, ไม่น่าจะเรียกว่าต้องแกะเลย.
คนเขียน virus ไม่จำเป็นต้องรู้รายละเอียดเกี่ยวกับวิธีการแกะเลยด้วยซ้ำ, แค่ copy code มาใช้.
—-
ใช้ proprietary ของแท้ ก็ไม่ได้รับประกันว่าจะไม่มี trojan เพราะ มันไม่มี source code ให้ review.
—-
(ลองแบ่งข้อความดู, สงสัยข้อความใหญ่ไป, เลยไม่ขึ้น)
ผมไม่ได้บอกว่ามันจะไม่โดน hack นะครับ แต่ว่าการใช้ proprietary ของแท้คือการป้องกันการโดน malware จาก crack/keygen ต่างๆ ครับ
(test, why cannot post)
http://blog.stopbadware.org/2009/07/16/local-malware-causes-infected-websites
http://blog.stopbadware.org/2009/07/16/local-malware-causes-infected-websites <– แม้แต่ cuteftp เองยังโดน crack เอา passwd ออกมาเลย
(link นี้ อ้าง ถึง โดย forum.filezilla-project.org/viewtopic.php?f=1&t=12421 )
—-
ส่วนเรื่องจะถ่วงเวลานั้น, ถ้า virus มันเขียน decrypt มาไว้พร้อมแล้ว, มันก็ decrypt ได้ทันที, ไม่ได้ใช้เวลาในการ decrypt มากไปกว่า plaintext เลย.
หรือ ถ้าคนอื่นเข้ามาเจาะ, ถ้าเค้าเตรียมเครื่องมือไว้พร้อมแล้ว ก็รัน auto ตูมเดียว ก็ได้ข้อมูล decrypt ออกมาหมด.
แต่ไม่ได้หมายความว่ารู้ทั้งรู้ว่าบ้านมีสิทธิ์ที่จะโดนขโมยขึ้นอยู่แล้วยังไม่ล็อคกุญแจหรือหาทางแก้ไขให้ลดความเสี่ยงในการโดนขโมยขึ้นนิครับ
แต่การทำกุญแจบ้าน หยั่งที่ว่าใน opensource, มันก็เหมือนการที่มีกุญแจยี่ห้อหนึ่ง ผลิตกุญแจออกมาโดยใช้แม่พิมพ์เดียวกันหมด สำหรับกุญแจทุกๆ อันที่ผลิตออกมา.
กล่าวคือ ลูกกุญแจ ของยี่ห้อนี้สามารถใช้ไขบ้านไหนก็ได้ที่ใช้ยี่ห้อเดียวกัน.
ยิ่งไปกว่านั้น บริษัทที่ผลิต ก็ยังเปิดเผยกลไกทั้งหมดภายในกุญแจ ซะอีก, แถมยังแจกลูกกุญแจให้คนทั้งโลกไปใช้อีก.
แล้วมันจะมีประโยชน์อะไรครับ ที่บริษัทนี้ จะทำกุญแจเช่นนี้ออกมาให้ใช้กัน.
(ซ้ำกะอันล่าง reply ที่ผิดที่. พอ captcha expire, มันก็ย้ายไปต่อท้าย ลืมดู)
ยิ่งไปกว่านั้น หลังจาก lock บ้านเสร็จแล้ว, ลูกกุญแจ ก็ยังถูกคล้องไว้กับ แม่กุญแจ รอให้ขโมยเข้ามาหยิบลูกกุญแจไขไปได้โดยทันทีซะอีก – -‘
แล้วมันจะมีประโยชน์อะไร.
http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/ar01s09.html
“Another lesson is about security by obscurity. Some fetchmail users asked me to change the software to store passwords encrypted in the rc file, so snoopers wouldn’t be able to casually see them.
I didn’t do it, because this doesn’t actually add protection. Anyone who’s acquired permissions to read your rc file will be able to run fetchmail as you anyway—and if it’s your password they’re after, they’d be able to rip the necessary decoder out of the fetchmail code itself to get it.
All .fetchmailrc password encryption would have done is give a false sense of security to people who don’t think very hard. The general rule here is:
17. A security system is only as secure as its secret. Beware of pseudo-secrets.”
ผมว่าไม่จำเป็นต้อง copy มาก็ได้มั้งครับ -_-‘ ผมสรุปง่ายๆ ชัดๆ อีกรอบแล้วกัน ผมต้องการ ftp clients ที่มั่นใจได้ในระดับหนึ่งว่า มันยังรักษารหัสผ่านผมไว้ได้ในระดับที่ผมพอใจ การบันทึกรหัสผ่านของงานผมแบบ plain text ไม่ใช่ทางที่ผมเลือก ผมจึงเลิกใช้ FileZilla ที่ยังไม่มี option ที่เข้ารหัสผ่านมาเป็น cipher text ที่คนอ่านไม่ออกครับ
ผม cyberduck ต่อไปครับ เลิก filezilla เหมือนกัน
จริง ๆ ให้พูดง่าย ๆ อย่าเอาความ***ของตัวเองมาด่าซอฟต์แวร์จะดีกว่า
PEBKAC มาก ๆ ครับ
คุณรู้จักผมดีแค่ไหนในเรื่องการใช้งานซอฟต์แวร์ open source ครับ อันไหนไม่ดีผมก็ต้องบอกว่ามันไม่ดี จะมาสรรเสริญทำไม เค้าว่าควรจะอย่างนั้นเราต้องเห็นด้วยเหรคอรับ ผมคิดว่าเราไม่เห็นด้วย และมีการเสนอแนะนำไปแล้วกลับไม่มีการปรับแก้ไขและตอบคำถามแบบไม่คิดว่าจะได้เห็นใน open source community ระดับนี้ ผมคิดว่าเราไม่ควรมาบอกว่ามันดีไปหมดทุกเรื่องครับ
รู้จักดีว่า”ก็งั้น ๆ” แค่ไหน 55
อืมม ก็สุดแล้วแต่ครับ
ใช้ CuteFTP Pro อย่าลืมตั้ง Master Password สำหรับ Site Manager ด้วยนะครับ ถึงจะเป็น Private Key Encryption ซึ่ง Secure จริง (แต่โดน Keylogger หรือ Sniffer ก็เจ๊งอยู่ดี ฮ่าๆๆ)
http://www.cuteftp.com/cuteftppro/tour_2.aspx#access
ถ้า FileZilla มีระบบ Master Password บ้างก็คงจะดี (ถ้าเฮียเลิกบอกว่าปัญหามันอยู่ที่ตัว FTP เอง)
ผมตั้ง Master Password มาตลอดครับผม กลัวโดนเหมือนกัน เลยต้องกันไว้ทุกทางที่ทำได้ ทั้ง Antivirus, Firewall และอื่นๆ ครับ -_-‘
แต่การทำกุญแจบ้าน หยั่งที่ว่าใน opensource, มันก็เหมือนการที่มีกุญแจยี่ห้อหนึ่ง ผลิตกุญแจออกมาโดยใช้แม่พิมพ์เดียวกันหมด สำหรับกุญแจทุกๆ อันที่ผลิตออกมา.
กล่าวคือ ลูกกุญแจ ของยี่ห้อนี้สามารถใช้ไขบ้านไหนก็ได้ที่ใช้ยี่ห้อเดียวกัน.
ยิ่งไปกว่านั้น บริษัทที่ผลิต ก็ยังเปิดเผยกลไกทั้งหมดภายในกุญแจ ซะอีก, แถมยังแจกลูกกุญแจให้คนทั้งโลกไปใช้อีก.
แล้วมันจะมีประโยชน์อะไรครับ ที่บริษัทนี้ จะทำกุญแจเช่นนี้ออกมาให้ใช้กัน.
คือว่าระบบ Master Password เนี่ย จะใช้ Master Password ไปเข้ารหัสข้อมูลอีกทีครับ รู้กลไกแต่ไม่รู้ Master Password ก็ต้องงมกันอีกยาว
เอ่อ อคติอะไรกับ Opensource หรือเปล่าครับเนี่ย ?
Linux ก็มีระบบ Password Shadowing นะครับ ไว้ซ่อนรหัสผ่าน คุณคิดว่าผู้ใช้ตาดำๆทั่วไปนี่จะมีสักกี่คนครับที่แกะพาสเวิร์ดลีนุกซ์ได้ ?
ที่จริงแล้วก็โดนเกือบทุกยี่ห้อเลยครับ ผมใช้ ws ftp ก็โดนครับ
ตอนนี้เลยไม่ save site ลงโปรแกรม ก็แก้ปัญหาได้หมดเลย
อาศัยเก็บ pass ไว้ต่างหาก ไม่สะดวกเหมือนเมื่อก่อน แต่ปลอดภัย
ขอบคุณมาก สำหรับความรู้ครับ