読者です 読者をやめる 読者になる 読者になる

ながさわさんのアレグロモデラート

アレグロモデラート(Allegro moderato)は、速さを示す演奏記号で「穏やかに速く」

ffftpのセキュリティ問題的なこと

コンピューティングティップス

とあるftpサイトのパスワードをすっかり忘れてしまったのだが、別のPCのffftpに登録してある設定では接続することができた。うーむ。ffftpのプログラムフォルダにサイトの情報がないようなので、レジストリを見にいくと、おっ、
HKEY_CURRENT_USER\Software\Sota\FFFTP\Options
にあった。
パスワードもプレーンテキストではないが、何かのキー値を付与して、BASE64エンコーディングするなどで、スクランブルしてあるっぽい。(試してません。)

まあ、やってみようと、そのスクランブルされている文字列を、別のPCのレジストリエントリに移してみたら、おっ、接続できた。

とはいえ、プレーンなパスワードはわからないままなので、変更する必要があるのだが…。

ちょっと、ググってみたら、
【FFFTP】 FTP接続時のパスワードが抜き取られサイトの改竄相次ぐ 【Gumblarウイルス】
FFFTPをお使いの方に重要なお知らせ

Gumblarウイルスにより、FTP接続時のパスワードが抜き取られ、
サイトが改竄される事例が多発しているようです。
FFFTPの利用者の方には、以下のような対策を強くお薦めします。
そうか。レジストリエントリ移したらつながるんだもんなあ。マスターパスワードかなんかをキーにする必要があるのかなあ。

イントラネットで使う業務アプリケーションでも、たいていは、パスワードのスクランブルとかしないけど、この場合は、データベースへの接続セキュリティが守られていればよいものね。

ハッキングとか、そういう観点ではないが、ASP.NETでは、type="password" である inputタグを生成するテキストボックスには、初期値を入れられないという仕様になっている。これは、valueに初期値が入っていると、ソース表示でパスワードが見れてしまうからだ。phpとか、perlのサイトには、パスワードの変更時にもとのパスワードが **** とかってなっているが、ソース表示すると、プレーンテキストで見えたりする。危ないですねえ。

とかいってると、
FFFTPパスワードデコード
FFFTPには保存されているけど、FTPサーバのパスワードを忘れてしまったと言うときに利用してください。ソースを見ればわかりますが、入力されたデータは保存していませんのでご安心を。それでも心配な方は、ネット接続を切ってから実行してください。
なんてサイトを発見。しかもこれ、JavaScriptで複合化してる。

みなさんも気をつけましょう。