35088 Letture

FileZilla FTP Client: qualche suggerimento per gestire i dati di login

FileZilla è un eccellente client FTP multipiattaforma (l'autore sviluppa e mantiene versioni distinte per Windows, Mac OS X e Linux) che permette di trasferire file non solo con il protocollo FTP ma anche con SFTP ed FTP su SSL/TLS.
Si tratta di un "software libero" rilasciato sotto licenza GNU GPLv2 che si distingue per la sua semplicità d'uso. Non va confuso con FileZilla Server, programma realizzato dallo stesso autore (per il momento disponibile sotto forma di prodotto "beta"), che consente di mettere in piedi un server FTP con pochi clic del mouse. Mentre nel caso del software client, che è disponibile in versioni "ad hoc" destinate a tutti i principali sistemi operativi, FileZilla Server è ad oggi compatibile solamente con Windows.

Uno dei fiori all'occhiello di FileZilla Client è sicuramente la semplicità d'uso: il programma propone una comoda interfaccia utente nella quale, per impostazione predefinita, vengono visualizzate una serie di informazioni. Nella parte più alta della finestra, FileZilla propone i messaggi ricevuti in risposta dal server FTP remoto e le operazioni via a via compiute; nella zona centrale, a sinistra, la struttura delle cartelle e l'elenco dei file memorizzati sul sistema locale mentre a destra, la struttura delle risorse accessibili sul server remoto.
Nella parte inferiore della finestra di FileZilla, il programma indica le operazioni in corso (ad esempio, l'upload od il download di un file o di un insieme file) insieme con il relativo stato di avanzamento.


FileZilla supporta il recupero dei download e delle operazioni di caricamento dei file, compresi gli elementi di più grandi dimensioni (superiori a 4 GB).
L'applicazione integra anche alcune funzionalità che, in determinati frangenti, possono rivelarsi particolarmente utili: citiamo, ad esempio, la possibilità di effettuare comparazioni in tempo reale tra il contenuto del sistema locale e quello del server remoto. Con la colorazione gialla vengono evidenziati i file esistenti da un solo lato (solamente in locale oppure sul server FTP), con il verde i file creati o modificati in data più recente rispetto al corrispettivo memorizzato dall'altro "lato" e con il rosso vengono indicati quei file che hanno una dimensione differente (e quindi un contenuto diverso).
Abilitando la cosiddetta "navigazione sincronizzata", si possono visitare cartelle e sottocartelle sul sistema locale muovendosi coerentemente, ed in maniera del tutto automatica, sul server remoto (e viceversa). Si tratta di una funzionalità molto utile quando si ha a che fare con una copia speculare, in locale, dei file e delle directory conservate sul server remoto.
La "ricerca ricorsiva", poi, permette di individuare sul server remoto un qualunque file che soddisfi i criteri manualmente impostabili.

Le tre funzionalità sin qui presentate sono le ultime tre accessibili dalla barra degli strumenti di FileZilla.


Utilizzando le caselle Host, Nome utente, Password e Porta, riportate appena sotto la barra degli strumenti, è possibile effettuare (pulsante Connessione rapida) un collegamento veloce verso un qualunque server FTP per il quale si conoscono le corrette credenziali di accesso.

Il primo pulsante (da sinistra verso destra) della barra degli strumenti di FileZilla, invece, consente di accedere al "Gestore siti". Si tratta di una finestra all'interno della quale è possibile configurare i dati per l'accesso ai vari server FTP che si amministrano.

Sia nel caso in cui l'utente decida di effettuare una connessione rapida, sia che utilizzi la finestra "Gestore siti", FileZilla annota in un file XML, su disco fisso, tutte le credenziali di accesso via a via utilizzate insieme con l'indirizzo del server (campo Host).

Alcuni utenti di FileZilla non sanno però che il programma memorizza nomi utente e password in chiaro senza impiegare alcun algoritmo crittografico a protezione di tali informazioni. Gli autori di FileZilla hanno spesso rimarcato che non spetterebbe al client FTP l'onere di proteggere – mediante l'uso della crittografia – le credenziali d'accesso via a via introdotte dagli utenti del programma. L'operazione sarebbe invece compito del sistema operativo previa attivazione della crittografia sul disco fisso o sulla partizione utilizzati da FileZilla.
Altri esperti non sono dello stesso avviso facendo rilevare come qualunque software, soprattutto le applicazioni che gestiscono dati così importanti quali possono essere nomi utente e password, debbano fare uso di tutte le metodologie possibili per proteggere i dati trattati in modo adeguato.
Qualora sul sistema ove è installato FileZilla, un malware riuscisse ad insediarsi e ad andare alla ricerca della specifica directory ove l'applicazione memorizza i dati dell'utente, sarebbe un grosso guaio. Tali informazioni potrebbero essere illecitamente trasmessi a terzi, con tutte le spiacevoli conseguenze del caso.
Dal team di sviluppo di FileZilla si eccepisce, tuttavia, che un malware potrebbe comunque intercettare le informazioni non appena queste vengano decodificate. L'adozione di un meccanismo in grado di cifrare i dati di autenticazione ai server FTP potrebbe essere comunque ragionevole, soprattutto nel caso in cui un personal computer sia condiviso tra più persone.
L'importante, in ogni caso, è che l'utente di FileZilla sappia dove vengono annotati username e password ed in che modo ciò avviene (senza l'uso di alcun algoritmo crittografico).

Dove memorizza i dati per la connessione a server remoti FileZilla?

FileZilla conserva tutti i dati per l'accesso ai server FTP indicati dall'utente nella cartella %appdata%\FileZilla. Le credenziali per l'accesso ai server (nome utente e password) inserite dall'utente nella finestra "Gestore siti" vengono memorizzate, in chiaro, nel file sitemanager.xml mentre le informazioni relativo all'ultimo server FTP "visitato" sono memorizzate in calce al file filezilla.xml.
Il file XML recentservers.xml raccoglie i dati introdotti dall'utente ogniqualvolta utilizzi la funzionalità connessione rapida, anche in questo caso in forma non cifrata.


Per proteggersi, è possibile applicare alcuni espedienti. Per impostazione predefinita, ogniqualvolta si inserisce un nuovo server FTP nella finestra "Gestore siti", viene prospettato il "Tipo di accesso" indicato come "Normale". Scegliendo, anziché "Normale", le opzioni "Richiedi password" od "Interattivo", FileZilla non salverà più le password sul disco fisso ma le richiederà ad ogni tentativo di connessione.

In alternativa (i passaggi che seguono, tuttavia, sono da intendersi rivolti esclusivamente agli utenti più esperti), si possono salvare tutti i file XML contenuti nella cartella %appdata%\FileZilla all'interno di un volume crittografato con TrueCrypt.
Prima di applicare le indicazioni riportate di seguito è bene effettuare, a titolo cautelativo, un backup completo del contenuto della cartella %appdata%\FileZilla. Ci si assicuri, inoltre, di comprendere in toto il significato di tutti i passaggi illustrati.

Per procedere, dopo aver scaricato ed installato TrueCrypt (è possibile fare riferimento a questa scheda per il download dell'applicazione), è necessario cliccare sul pulsante Create volume quindi selezionare la voce Create an encrypted file container.

Dopo aver cliccato su Next si può optare per Standard TrueCrypt Volume quindi specificare il file-contenitore che ospiterà i dati di login di FileZilla. In questo caso (vedere immagine successiva) è stata richiesta la creazione di un volume compresso chiamato fz.

Per semplicità, il file viene generato nella cartella di TrueCrypt, ma è possibile memorizzarlo in qualsiasi altri unità/directory.


La finestra successiva consente di impostare l'algoritmo crittografico da impiegare (AES, Serpent, Twofish od una combinazione dei tre) oltre all'algoritmo di hash. Infine, si dovrà inserire la dimensione del volume virtuale cifrato. Per la memorizzazione dei dati di FileZilla bastano pochi chilobytes: impostiamo però, ad esempio, almeno una dimensione di 20 MB e proseguiamo cliccando Next..

Il passo seguente consiste nello specificare la password che sarà utilizzata a protezione dell'archivio cifrato. Dopo aver scelto la parola chiave e cliccato su Next, si dovrà lasciare selezionata la voce FAT (File system), muovere più volte il puntatore del mouse in modo del tutto casuale e premere il pulsante Format.

Conclusa la procedura di creazione dell'unità virtuale, TrueCrypt proporrà di nuovo la finestra per la creazione di un volume cifrato: per proseguire, si deve premere il pulsante Cancel.

A questo punto, è possibile creare – nella directory di FileZilla (generalmente, C:\Program files\FileZilla FTP Client) - un file batch con questo contenuto.
Com'è possibile notare, TrueCrypt si suppone installato nella directory C:\TrueCrypt: nel caso in cui ciò non corrispondesse al vero è ovviamente necessario operare le opportune correzioni (riga 5 e riga 17 del file batch).

Il comando C:\TrueCrypt\TrueCrypt.exe /q /v c:\TrueCrypt\fz /lp consente di "montare" il volume denominato fz come unità P:. Sostituendo /lp, ad esempio, con /lx, l'unità virtuale cifrata sarà "montata" come unità X:.


Con un doppio clic sul file batch, verrà richiesto se montare il volume cifrato TrueCrypt. Rispondendo con S, verrà richiesta la password precedentemente specificata a protezione dell'unità virtuale crittografata.

A questo punto, comparirà la domanda Copiare i file XML di FileZilla dall'unità cifrata?. Si aspetti a rispondere, si acceda alla cartella %appdata%\FileZilla (Start, Esegui..., %appdata%\FileZilla) quindi si sposti tutti i file XML nell'unità virtuale (%appdata%\FileZillaP:\ nel nostro caso).


Rispondendo affermativamente alla domanda Copiare i file XML di FileZilla dall'unità cifrata? tutti i file XML saranno ricopiati nella directory %appdata%\FileZilla.
Il file batch chiederà quindi se si intende avviare FileZilla Client.
Al termine della sessione di lavoro, si potrà decidere se "smontare" l'unità virtuale cifrata con TrueCrypt.

Rispondendo affermativamente al quesito Eliminare i file XML di FileZilla dal disco fisso?, il file batch cancellerà tutto il contenuto della cartella locale %appdata%\FileZilla.


  1. Avatar
    panwood
    20/12/2010 12:44:53
    Grazie per il tutorial. Windows7, ho un problema, lo script .bat non mi monta l'unità. Non appare nemmeno il requester di truecrypt con la richiesta della pass. Se invece eseguo da CLI la stessa linea di comando, appare il requester e l'unità viene montata. Consigli? Grazie mille
FileZilla FTP Client: qualche suggerimento per gestire i dati di login - IlSoftware.it