Webmasterka: klient FTP
Total Commander
Od ponad dziesięciu lat praca przy komputerze kojarzy mi się tylko i wyłącznie z Total Commander‘em. Za jego pomocą robię praktycznie wszystko – generalnie nigdy nie klikam ikonek Mój komputer (chyba, żeby wybrać “Właściwości” lub “Zarządzaj”) czy innych Eksploratorów Windows.
Konfiguracja Total Commander pozwala mi powyłączać większość guziczków do klikania – dzięki temu mam więcej miejsca na widoczne pliki, a i tak najchętniej posługuję się skrótami klawiaturowymi.
Posługiwanie się skrótami klawiaturowymi w Total Commander ma dwie zalety:
- Pierwsza – wszystko robię zdecydowanie szybciej, nie zawracając sobie głowy i nie męcząc ręki sięganiem po myszkę i celowaniem w ikonki;
- Druga, chyba najważniejsza – robi to kolosalne wrażenie na klientach. To, że wiem o czym mówię nie trafia do “zwykłych userów” tak szybko jak moja wprawa w posługiwaniu się Total Commander’em…
I wracając do klienta FTP z tytułu – klient FTP wbudowany w Total Commander przez lata był dla mnie wzorem i ideałem tego, jak taki klient powinien wyglądać.
Zacząłem się nad nim troszkę (ale tylko troszkę) zastanawiać gdy dostałem do dyspozycji szerokie pasmo Tam i z powrotem (do Internetu) – okazało się, że niektóre serwery, czasami miewają problemy z przesyłaniem danych, a opcje nadpisywania zdalnych plików i wznawiania połączenia w Total Commander nie stoją na wysokim poziomie, niestety. Gdy sprawa zaczęła mi bardziej przeszkadzać, za namową zaprzyjaźnionego projektanta stron Joomla! uruchomiłem FileZillę. Miał być to program wyjątkowo przyjazny i intuicyjny – nie zgodzę się do końca z tą opinią. Owszem, udało mi się dosyć szybko skonfigurować połączenia i ładować pliki na serwery, ale ta intuicyjność nie jest powalająca. Za to możliwości, jakie daje jednoczesne ładowanie dziesięciu plików na serwer – i owszem, są powalające. I w zasadzie tylko dla tej opcji skonfigurowałem tam sobie FileZilla na większość moich serwerów FTP. Czas, jaki pozwala mi zaoszczędzić na ładowaniu większej ilości plików na serwery jest naprawdę – niebagatelny.
I znów wrócę do Total Commander’a i jego klienta FTP – widocznie nie tylko ja uważam, że jest to najwygodniejszy sposób pracy z komputerem klasy PC. Wiedzą o tym również hakierzy, którzy potrafią podobno przechwycić całą listę haseł zachowaną w pamięci Total Commander’a* i po cichu ładować nam na strony wirusy. Piszę “podobno”, bo mi się to jeszcze nie przytrafiło, ale takich głosów widziałem kilka. A dosłownie kilka dni temu dostałem od Kei.pl newsletter, gdzie ten problem został poruszony:
WAŻNE – bezpieczna modyfikacja strony www przez FTP.
- A. NIGDY NIE ZAPISUJ HASŁA DO KONTA FTP W PROGRAMIE (np. Total Commander).
- B. W CELU REALIZACJI BEZPIECZNEGO POŁĄCZENIA Z SERWEREM FTP UŻYWAJ ZAWSZE
PROTOKOŁÓW sFTP, SCP LUB FTP+TLS.- C. NA KOMPUTERZE UŻYWAJ PROGRAMU ANTYWIRUSOWEGO AKTULIZOWANEGO ONLINE (dla użytku prywatnego np. http://www.avast.com)
- D. UAKTYWNIJ DOSTĘP DO FTP TYLKO WTEDY GDY TEGO POTRZEBUJESZ (opcja w Webas od 2.03.2009 dla każdego konta FTP w zakładce Konto FTP/Parametry)
W ostatnich tygodniach dochodzi do bardzo wielu włamań na strony www w całej sieci internet do których nie doszło by gdyby stosowane były powyższe wskazówki. Mechanizm tych włamań polega na tym iż na domowym/firmowym komputerze użytkownika instalowana jest aplikacja sczytująca hasło do konta FTP w trakcie połączenia zwykłym protokołem FTP lub też po prostu zapisanego w programie Total Commander. Informacje o loginie i haśle są następnie wykorzystywane do połączenia się z kontem i podmianie plików stron – najczęściej w sposób nie widoczny na pierwszy rzut oka ponieważ dopisywany jest wyłącznie dodatkowy kod łączący się z inną stroną.
Po pracy wyłącz FTP
Dzisiaj sprawdziłem jak działa opcja, o której piszą – na pierwszej widocznej po zalogowaniu się na Webas (Kei’owy panel administracji serwerem) widać nową funkcjonalność:
Blokada FTP: NIE włącz. Po kliknięciu włącz faktycznie, nie da się połączyć z serwerem przez FTP: serwer melduje o złym haśle. Pomyślałem, że nic nie szkodzi wyłączyć ten dostęp i na pozostałych moich serwerach w Kei.pl – dezaktywacja i ponowne uruchomienie połączenia zajmuje nie więcej niż 30 sekund, a więcej może z tego wypłynąć dobrego niż złego, prawda?
* Gdzie Total Commander trzyma listę FTP wraz z hasłami? Plik, w którym program przechowuje informację z listą serwerów FTP nazywa się wcx_ftp.ini i jest przechowywany na dysku C:/ (w jakim dokładnie miejscu nie napiszę, bo zależy to od wersji systemu Windows, ale łatwo go znaleźć: W jednym z paneli Total Commander otwieramy główny katalog dysku C:/ (korzystając, rzecz jasna, z kombinacji klawiszy: Alt+F1 i C), w menu programu włączmy pliki ukryte i systemowe (do tego przyporządkowałem sobie kombinację klawiszy Ctrl+F) i wciskamy kombinację klawiszy Alt+F7 by wywołać okno Szukaj. Wklejamy tam nazwę poszukiwanego pliku (wcx_ftp.ini) i wciskamy Enter. W Windows 7 plik ten znajduje się w katalogu: C:/Users/User/AppData/Roaming/GHISLER/
Ja taki plik sobie co jakiś czas kopiuję na bok, na zaszyfrowaną partycję – nie ma nic nudniejszego niż ponowna konfiguracja tych kilkudziesięciu połączeń FTP z których korzystam najczęściej. A po reinstalacji Windows po prostu kopiuję ten plik na właściwe miejsce i gotowe: mam swoją listę połączeń FTP gotową do pracy.
W FileZilla rzecz ma się trochę inaczej. Nie będę się wgłębiał w szczegóły (bo ich nie znam), ale na mieście mówią, że ten klient FTP przechowuje hasła zabezpieczone w zupełnie inny sposób i problem ich wykradania (do podstępnego ładowania na serwer wirusów) nie występuje. Jak zwykle można powiedzieć: tymczasem nie występuje i kto wie co będzie dalej.
I wracając do Total Commander’a po raz kolejny: właśnie się zastanawiam, czy nie przenieść pliku z hasłami na szyfrowaną partycję, by dostęp do haseł był bardzo ograniczony? Gdzieś widziałem informację, że plik wcx_ftp.ini można dowolnie przenosić konfigurując program – ale przejrzałem opcje konfiguracyjne Total Commander’a i jakoś tego nie widzę.
Też zazwyczaj używałem TC jednak jak tylko przesiadłem się na Linuksa to bez namysłu pierwsze co zrobiłem to zainstalowałem FileZilla :) Dobry klient
Od jakiegoś czasu zerwałem z TC i romansuje z Filezillą. Pierwsze co rzuciło mi się w oczy to że jest dużo szybsza przy przesyłaniu większej ilości mniejszych plików. Na nowej instalacji windołs nie mam już nawet Commandera :P
Co do Total Commander’a to należy pamiętać iż legalnie można używać go jedynie 30 dni a potem trzeba go kupić. Gdzieś ostatnio czytałem, że firma żąda odszkodowania od jednego studenta, który używał programu dłużej.
A ja wydałem trochę kasy i zakupiłem cuteftp pro wreszcie do domu ;-) Nie zamienię na nic innego, bo jak piszą na stronie: “Główna zaleta aplikacji to możliwość realizacji wielu połączeń jednocześnie”.
Ja od dawna zostawiłem TC dla Filezilla. Brakuje zarządzania plikami, ale ftp jest duuużo wygodniejszy i stabilniejszy
@Marek – widziałem FlashFXP, ale pomijając śmieszną nazwę jest to aplikacja komercyjna. a nie chciało mi się wydawać pieniędzy na aplikację która oferuje to samo, co darmowy odpowiednik.
@Szelo – właśnie o to chodzi! Załadowanie takiej kobyłki jak Joomla! 1.5 trwa piątą cześć czasu niż przez TC.
@Tomek – a tutaj mnie zmartwiłeś, bo nie mam powodu Ci nie wierzyć… Ja z kolei czytałem (na jakiś forum, więc info może być mało wiarygodne), że autorowi nie przeszkadza, jeśli ktoś używa jego programu dłużej – byle nie cracować i nie usuwać tego informacyjnego splasha. Pytanie za 100 punktów – jak jest naprawdę?
@Paweł – pomijając, że jesteś burżujem i nowobaogackim, moje pytanie do Ciebie brzmi: dlaczego nie było Cię dzisiaj na NetDay.lublin.pl? Co? ;-)
@Kuba – Myślę, że ja też przesiądę się całkowicie na FZillę, choć do szybkiej pracy na pojedynczych plikach TC dalej jest dla mnie niezastąpiony. Ale powiedz mi lepiej – czyje to tłumaczenie pojawiło się w Wp 2.7.1? Kilka bugów zauważyłem, ale jeśli to nie Twoje, to będę siedział cicho :-P
To nie moje. Ktoś stwierdził, że lepiej użytkownikom zasugerować jakie tłumaczenie mają używać :) . Nie mój problem, ja wolę moje tłumaczenie i będę je i tak kontynuował hobbystycznie na swojej stronie.
ps. przeszedłem właśnie na Maca i filezilla jest jedynym typowo pecetowym programem przy jakim zostałem, naprawdę to jest niezły kawałek softu
@Bielack tu nie chodziło o samego autora ale o firmę która w PL jest odpowiedzialna za sprzedaż tego programu.
Info miałem z wiarygodnego źródła. Musze poszukać linka ale to było jakieś 2m temu i już dokładnie nie pamiętam :(
Potwierdzam to, co pisze Tomek: też o tym czytałem. Autorowi to nie przeszkadza, ale firma sprzedająca TCmd w Polsce chętnie ciaga ludzi po sądach.
Co do meritum: właśnie znajomy webmaster potwierdził istnienie tego ataku poprzez klienta ftp w TCmd. Przykra sprawa. Też się chyba przesiądę na coś innego, choć używam sporadycznie.
@Paweł – Ja i wielu innych kolegów również nie dostaliśmy zaproszenia/powiadomienia, pomimo rejestracji i zapisania się na spamlistę – być może była to szerzej zakrojona akcja, mająca na celu uciszenie Pozycjonerów, kto wie…
(to żart, rzecz jasna).
A co do Total Commandera – Panowie, kolega General_Depet na forum PiO sprzedał cynk o Unreal Commander: http://unrealcommander.org/ kto jest uzależniony od TC, ale obawia się wykradania haseł, niech ściąga, instaluje, aktywuje (kompletnie za darmo do wszelkich zastosowań) i po małej konfiguracji wyglądu (można edytować czcionki jakim wyświetlane są różne elementy) UnCom nie różni się niczym od TC. Poza tym, że jest darmowy i bezpieczny. Bardzo mi się to podoba i praktycznie już się przesiadłem. Gdyby to był sof uruchamialny pod Maca, to kto wie…
Podoba mi się unrealcommander :) Jest może tam opcja importu danych z ftp total commandera ? Mam tego trochę a nie w smak jest mi to ręcznie wklepywać ;)
Dzięki
Nie widzę opcji importu i co do klienta FTP, znalazłem dwie rzeczy które nie są najszczęśliwsze – raz, nie można połączyć się z serwerem FTP jeśli masz uruchomiony UC w trybie zwykłego Usera, a nie Administratora (to pewnie bardziej sprawa Windows, ale tak jest), a dwa – gdy chcę nadpisać istniejące pliki, muszę kliknąć i zaznaczyć “dla wszystkich” i dopiero kliknąć “Zamień”. W TC robię to wszytko bez klikania, po prostu wybieram opcje z klawiatury. Trzeba by pewnie o to poprosić Autora programu, bo to przeszkadza.
Po dwóch dniach korzystania z UT też widzę pewne różnice. Tymczasem są na tyle drobne, że mi to jeszcze nie przeszkadza, ale kto wie. No, ale dopóki nie rozwiążą problemu z wykradaniem haseł z TC nie widzę innej alternatywy.
A może jest jakaś nowe wersja TC, która szyfruje hasła ? A my o tym nie wiemy. UC jak dla mnie działa zbyt wolno (szybko się wtedy denerwuję ;) )
ja hasla trzymam w http://keepass.info/ – jak sie z nim zapoznac to jest to bardzo bezpieczne i wystarczajaco wygodne. a do ftp – filezilla :)
Ten Keepass działa na zasadzie portfela do haseł? W TC wystarczy nie podawać hasła do FTP i za każdym razem je wpisywać? Trochę zawracanie głowy jeśli tych serwerów FTP mam więcej, a ja niestety mam. Filezilla zapamiętuje hasła, pytanie brzmi – na jak długo to będzie bezpieczne, prawda?
FlashFXP pozwala na szyfrowanie zapisanych serwerów FTP, przy użyciu jak dobrze pamiętam 3DES. Przy uruchamianiu programu pytani jesteśmy o hasło główne.
Filezilla? Ludzie polecacie program, który przechowuje hasła bez żadnego szyfrowania w plikach xml?
Pooglądajcie najpierw pliki:
[Wasz_dysk]:\Documents and Settings\[Nazwa_użytkownika_windows]\Dane aplikacji\FileZilla
A najlepsze jest to, że wcale nie trzeba zapamiętywać hasła, żeby filezilla zapisała je w pliku. Poobserwujcie sobie jaki to badziew.
Sprawdziłem. W Windows Vista jest to: c:\Users\Twoje konto\AppData\Roaming\FileZilla
Prawdą jest, co pisze Bont. Adres serwer FTP, login i hasło są w pliku sitemanager.xml widoczne jak na dłoni.
Mnie bardzo to nie przeraziło, bo gdy tylko przesiadałem się z TotalCommander na FileZilla postanowiłem zadać sobie więcej trudu i po prostu nie zapamiętywać haseł w żadnym programie FTP. Po prostu. Teraz, za każdym razem muszę co prawda uruchamiać zaszyfrowany dysk by odnaleźć rozpiskę konkretnego serwera i przez to tracę trochę czasu, ale już się przyzwyczaiłem i śpię spokojnie.
A wracając do samego klienta FileZilla – osłabiłem się. Mądrzejsi ode mnie pisali FileZilla to niezły kawałek softu. Cóż, z pewnością jest lepszym klientem FTP niż ten wbudowany w TC, choć TC ma obecnie z pewnością bezpieczniejsze przechowywanie danych.
FlashFXP poznałeś może? Byłem długi czas wyznawcą TC, do czasu poznania właśnie FlashFXP