Webmasterka: klient FTP

Total Commander
Total Commander

Od ponad dziesięciu lat praca przy komputerze kojarzy mi się tylko i wyłącznie z Total Commander’em. Za jego pomocą robię praktycznie wszystko – generalnie nigdy nie klikam ikonek Mój komputer (chyba, żeby wybrać „Właściwości” lub „Zarządzaj”) czy innych Eksploratorów Windows.

Konfiguracja Total Commander pozwala mi powyłączać większość guziczków do klikania – dzięki temu mam więcej miejsca na widoczne pliki, a i tak najchętniej posługuję się skrótami klawiaturowymi.

Posługiwanie się skrótami klawiaturowymi w Total Commander ma dwie zalety:

  1. Pierwsza – wszystko robię zdecydowanie szybciej, nie zawracając sobie głowy i nie męcząc ręki sięganiem po myszkę i celowaniem w ikonki;
  2. Druga, chyba najważniejsza – robi to kolosalne wrażenie na klientach. To, że wiem o czym mówię nie trafia do „zwykłych userów” tak szybko jak moja wprawa w posługiwaniu się Total Commander’em…

I wracając do klienta FTP z tytułu – klient FTP wbudowany w Total Commander przez lata był dla mnie wzorem i ideałem tego, jak taki klient powinien wyglądać.

Zacząłem się nad nim troszkę (ale tylko troszkę) zastanawiać gdy dostałem do dyspozycji szerokie pasmo Tam i z powrotem (do Internetu) – okazało się, że niektóre serwery, czasami miewają problemy z przesyłaniem danych, a opcje nadpisywania zdalnych plików i wznawiania połączenia w Total Commander nie stoją na wysokim poziomie, niestety. Gdy sprawa zaczęła mi bardziej przeszkadzać, za namową zaprzyjaźnionego projektanta stron Joomla! uruchomiłem FileZillę. Miał być to program wyjątkowo przyjazny i intuicyjny – nie zgodzę się do końca z tą opinią. Owszem, udało mi się dosyć szybko skonfigurować połączenia i ładować pliki na serwery, ale ta intuicyjność nie jest powalająca. Za to możliwości, jakie daje jednoczesne ładowanie dziesięciu plików na serwer – i owszem, są powalające. I w zasadzie tylko dla tej opcji skonfigurowałem tam sobie FileZilla na większość moich serwerów FTP. Czas, jaki pozwala mi zaoszczędzić na ładowaniu większej ilości plików na serwery jest naprawdę – niebagatelny.

I znów wrócę do Total Commander’a i jego klienta FTP – widocznie nie tylko ja uważam, że jest to najwygodniejszy sposób pracy z komputerem klasy PC. Wiedzą o tym również hakierzy, którzy potrafią podobno przechwycić całą listę haseł zachowaną w pamięci Total Commander’a* i po cichu ładować nam na strony wirusy. Piszę „podobno”, bo mi się to jeszcze nie przytrafiło, ale takich głosów widziałem kilka. A dosłownie kilka dni temu dostałem od Kei.pl newsletter, gdzie ten problem został poruszony:

WAŻNE – bezpieczna modyfikacja strony www przez FTP.

  • A. NIGDY NIE ZAPISUJ HASŁA DO KONTA FTP W PROGRAMIE (np. Total Commander).
  • B. W CELU REALIZACJI BEZPIECZNEGO POŁĄCZENIA Z SERWEREM FTP UŻYWAJ ZAWSZE
    PROTOKOŁÓW sFTP, SCP LUB FTP+TLS.
  • C. NA KOMPUTERZE UŻYWAJ PROGRAMU ANTYWIRUSOWEGO AKTULIZOWANEGO ONLINE (dla użytku prywatnego np. http://www.avast.com)
  • D. UAKTYWNIJ DOSTĘP DO FTP TYLKO WTEDY GDY TEGO POTRZEBUJESZ (opcja w Webas od 2.03.2009 dla każdego konta FTP w zakładce Konto FTP/Parametry)

W ostatnich tygodniach dochodzi do bardzo wielu włamań na strony www w całej sieci internet do których nie doszło by gdyby stosowane były powyższe wskazówki. Mechanizm tych włamań polega na tym iż na domowym/firmowym komputerze użytkownika instalowana jest aplikacja sczytująca hasło do konta FTP w trakcie połączenia zwykłym protokołem FTP lub też po prostu zapisanego w programie Total Commander. Informacje o loginie i haśle są następnie wykorzystywane do połączenia się z kontem i podmianie plików stron – najczęściej w sposób nie widoczny na pierwszy rzut oka ponieważ dopisywany jest wyłącznie dodatkowy kod łączący się z inną stroną.

Po pracy wyłącz FTP
Po pracy wyłącz FTP

Dzisiaj sprawdziłem jak działa opcja, o której piszą – na pierwszej widocznej po zalogowaniu się na Webas (Kei’owy panel administracji serwerem) widać nową funkcjonalność:
Blokada FTP: NIE włącz. Po kliknięciu włącz faktycznie, nie da się połączyć z serwerem przez FTP: serwer melduje o złym haśle. Pomyślałem, że nic nie szkodzi wyłączyć ten dostęp i na pozostałych moich serwerach w Kei.pl – dezaktywacja i ponowne uruchomienie połączenia zajmuje nie więcej niż 30 sekund, a więcej może z tego wypłynąć dobrego niż złego, prawda?

* Gdzie Total Commander trzyma listę FTP wraz z hasłami? Plik, w którym program przechowuje informację z listą serwerów FTP nazywa się wcx_ftp.ini i jest przechowywany na dysku C:/ (w jakim dokładnie miejscu nie napiszę, bo zależy to od wersji systemu Windows, ale łatwo go znaleźć: W jednym z paneli Total Commander otwieramy główny katalog dysku C:/ (korzystając, rzecz jasna, z kombinacji klawiszy: Alt+F1 i C), w menu programu włączmy pliki ukryte i systemowe (do tego przyporządkowałem sobie kombinację klawiszy Ctrl+F) i wciskamy kombinację klawiszy Alt+F7 by wywołać okno Szukaj. Wklejamy tam nazwę poszukiwanego pliku (wcx_ftp.ini) i wciskamy Enter. W Windows 7 plik ten znajduje się w katalogu: C:/Users/User/AppData/Roaming/GHISLER/
Ja taki plik sobie co jakiś czas kopiuję na bok, na zaszyfrowaną partycję – nie ma nic nudniejszego niż ponowna konfiguracja tych kilkudziesięciu połączeń FTP z których korzystam najczęściej. A po reinstalacji Windows po prostu kopiuję ten plik na właściwe miejsce i gotowe: mam swoją listę połączeń FTP gotową do pracy.

W FileZilla rzecz ma się trochę inaczej. Nie będę się wgłębiał w szczegóły (bo ich nie znam), ale na mieście mówią, że ten klient FTP przechowuje hasła zabezpieczone w zupełnie inny sposób i problem ich wykradania (do podstępnego ładowania na serwer wirusów) nie występuje. Jak zwykle można powiedzieć: tymczasem nie występuje i kto wie co będzie dalej.

I wracając do Total Commander’a po raz kolejny: właśnie się zastanawiam, czy nie przenieść pliku z hasłami na szyfrowaną partycję, by dostęp do haseł był bardzo ograniczony? Gdzieś widziałem informację, że plik wcx_ftp.ini można dowolnie przenosić konfigurując program – ale przejrzałem opcje konfiguracyjne Total Commander’a i jakoś tego nie widzę.

26 odpowiedzi do “Webmasterka: klient FTP”

  1. FlashFXP poznałeś może? Byłem długi czas wyznawcą TC, do czasu poznania właśnie FlashFXP

  2. Też zazwyczaj używałem TC jednak jak tylko przesiadłem się na Linuksa to bez namysłu pierwsze co zrobiłem to zainstalowałem FileZilla :) Dobry klient

  3. Od jakiegoś czasu zerwałem z TC i romansuje z Filezillą. Pierwsze co rzuciło mi się w oczy to że jest dużo szybsza przy przesyłaniu większej ilości mniejszych plików. Na nowej instalacji windołs nie mam już nawet Commandera :P

  4. Co do Total Commander’a to należy pamiętać iż legalnie można używać go jedynie 30 dni a potem trzeba go kupić. Gdzieś ostatnio czytałem, że firma żąda odszkodowania od jednego studenta, który używał programu dłużej.

  5. A ja wydałem trochę kasy i zakupiłem cuteftp pro wreszcie do domu ;-) Nie zamienię na nic innego, bo jak piszą na stronie: „Główna zaleta aplikacji to możliwość realizacji wielu połączeń jednocześnie”.

  6. @Marek – widziałem FlashFXP, ale pomijając śmieszną nazwę jest to aplikacja komercyjna. a nie chciało mi się wydawać pieniędzy na aplikację która oferuje to samo, co darmowy odpowiednik.
    @Szelo – właśnie o to chodzi! Załadowanie takiej kobyłki jak Joomla! 1.5 trwa piątą cześć czasu niż przez TC.
    @Tomek – a tutaj mnie zmartwiłeś, bo nie mam powodu Ci nie wierzyć… Ja z kolei czytałem (na jakiś forum, więc info może być mało wiarygodne), że autorowi nie przeszkadza, jeśli ktoś używa jego programu dłużej – byle nie cracować i nie usuwać tego informacyjnego splasha. Pytanie za 100 punktów – jak jest naprawdę?
    @Paweł – pomijając, że jesteś burżujem i nowobaogackim, moje pytanie do Ciebie brzmi: dlaczego nie było Cię dzisiaj na NetDay.lublin.pl? Co? ;-)
    @Kuba – Myślę, że ja też przesiądę się całkowicie na FZillę, choć do szybkiej pracy na pojedynczych plikach TC dalej jest dla mnie niezastąpiony. Ale powiedz mi lepiej – czyje to tłumaczenie pojawiło się w Wp 2.7.1? Kilka bugów zauważyłem, ale jeśli to nie Twoje, to będę siedział cicho :-P

  7. To nie moje. Ktoś stwierdził, że lepiej użytkownikom zasugerować jakie tłumaczenie mają używać :) . Nie mój problem, ja wolę moje tłumaczenie i będę je i tak kontynuował hobbystycznie na swojej stronie.

    ps. przeszedłem właśnie na Maca i filezilla jest jedynym typowo pecetowym programem przy jakim zostałem, naprawdę to jest niezły kawałek softu

  8. @Bielack tu nie chodziło o samego autora ale o firmę która w PL jest odpowiedzialna za sprzedaż tego programu.

    Info miałem z wiarygodnego źródła. Musze poszukać linka ale to było jakieś 2m temu i już dokładnie nie pamiętam :(

  9. Potwierdzam to, co pisze Tomek: też o tym czytałem. Autorowi to nie przeszkadza, ale firma sprzedająca TCmd w Polsce chętnie ciaga ludzi po sądach.

    Co do meritum: właśnie znajomy webmaster potwierdził istnienie tego ataku poprzez klienta ftp w TCmd. Przykra sprawa. Też się chyba przesiądę na coś innego, choć używam sporadycznie.

  10. @Paweł – Ja i wielu innych kolegów również nie dostaliśmy zaproszenia/powiadomienia, pomimo rejestracji i zapisania się na spamlistę – być może była to szerzej zakrojona akcja, mająca na celu uciszenie Pozycjonerów, kto wie…
    (to żart, rzecz jasna).
    A co do Total Commandera – Panowie, kolega General_Depet na forum PiO sprzedał cynk o Unreal Commander: http://unrealcommander.org/ kto jest uzależniony od TC, ale obawia się wykradania haseł, niech ściąga, instaluje, aktywuje (kompletnie za darmo do wszelkich zastosowań) i po małej konfiguracji wyglądu (można edytować czcionki jakim wyświetlane są różne elementy) UnCom nie różni się niczym od TC. Poza tym, że jest darmowy i bezpieczny. Bardzo mi się to podoba i praktycznie już się przesiadłem. Gdyby to był sof uruchamialny pod Maca, to kto wie…

  11. Podoba mi się unrealcommander :) Jest może tam opcja importu danych z ftp total commandera ? Mam tego trochę a nie w smak jest mi to ręcznie wklepywać ;)

    Dzięki

  12. Nie widzę opcji importu i co do klienta FTP, znalazłem dwie rzeczy które nie są najszczęśliwsze – raz, nie można połączyć się z serwerem FTP jeśli masz uruchomiony UC w trybie zwykłego Usera, a nie Administratora (to pewnie bardziej sprawa Windows, ale tak jest), a dwa – gdy chcę nadpisać istniejące pliki, muszę kliknąć i zaznaczyć „dla wszystkich” i dopiero kliknąć „Zamień”. W TC robię to wszytko bez klikania, po prostu wybieram opcje z klawiatury. Trzeba by pewnie o to poprosić Autora programu, bo to przeszkadza.

  13. Po dwóch dniach korzystania z UT też widzę pewne różnice. Tymczasem są na tyle drobne, że mi to jeszcze nie przeszkadza, ale kto wie. No, ale dopóki nie rozwiążą problemu z wykradaniem haseł z TC nie widzę innej alternatywy.

  14. A może jest jakaś nowe wersja TC, która szyfruje hasła ? A my o tym nie wiemy. UC jak dla mnie działa zbyt wolno (szybko się wtedy denerwuję ;) )

  15. Ten Keepass działa na zasadzie portfela do haseł? W TC wystarczy nie podawać hasła do FTP i za każdym razem je wpisywać? Trochę zawracanie głowy jeśli tych serwerów FTP mam więcej, a ja niestety mam. Filezilla zapamiętuje hasła, pytanie brzmi – na jak długo to będzie bezpieczne, prawda?

  16. FlashFXP pozwala na szyfrowanie zapisanych serwerów FTP, przy użyciu jak dobrze pamiętam 3DES. Przy uruchamianiu programu pytani jesteśmy o hasło główne.

  17. Filezilla? Ludzie polecacie program, który przechowuje hasła bez żadnego szyfrowania w plikach xml?
    Pooglądajcie najpierw pliki:
    [Wasz_dysk]:\Documents and Settings\[Nazwa_użytkownika_windows]\Dane aplikacji\FileZilla
    A najlepsze jest to, że wcale nie trzeba zapamiętywać hasła, żeby filezilla zapisała je w pliku. Poobserwujcie sobie jaki to badziew.

  18. Sprawdziłem. W Windows Vista jest to: c:\Users\Twoje konto\AppData\Roaming\FileZilla
    Prawdą jest, co pisze Bont. Adres serwer FTP, login i hasło są w pliku sitemanager.xml widoczne jak na dłoni.

    Mnie bardzo to nie przeraziło, bo gdy tylko przesiadałem się z TotalCommander na FileZilla postanowiłem zadać sobie więcej trudu i po prostu nie zapamiętywać haseł w żadnym programie FTP. Po prostu. Teraz, za każdym razem muszę co prawda uruchamiać zaszyfrowany dysk by odnaleźć rozpiskę konkretnego serwera i przez to tracę trochę czasu, ale już się przyzwyczaiłem i śpię spokojnie.

    A wracając do samego klienta FileZilla – osłabiłem się. Mądrzejsi ode mnie pisali FileZilla to niezły kawałek softu. Cóż, z pewnością jest lepszym klientem FTP niż ten wbudowany w TC, choć TC ma obecnie z pewnością bezpieczniejsze przechowywanie danych.

  19. Odgrzewając temat… W Total Commanderze 7.5 jest szyfrowanie haseł FTP hasłem głównym, które wpisujemy z ręki – polecam. FileZilla niestety wciąż tego nie ma.

  20. Fillezilla jest OK, ale największym problemem jest to (jak ktoś powyżej pisał) że nie ma kodowania pliku z hasłami… :( buuu każdy kto ma dostęp do kompa twojego, może bez problemu znać hasła twoje FTP :(

  21. @szogunek – TrueCrypt Twoim przyjacielem jest. Ja oprócz szyfrowania haseł w FlashFXP, całą jego konfigurację trzymam w kontenerze TrueCrypt.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *