Gestern stand ich vor folgendem Problem: Mit meinem Quelltext-Editor WeBuilder wollte ich PHP-Dateien nach der Bearbeitung direkt auf den Server einer Kundin hochladen. Dafür richtete ich im Editor den FTP-Zugang ein. Das Passwort, das ich mir an anderer Stelle notiert hatte, wurde aber beim Verbindungsaufbau als falsch abgewiesen.
Im FTP-Programm FileZilla, wo ich vor längerer Zeit schon einen entsprechenden Zugang angelegt hatte, klappte hingegen alles, dort musste das Passwort also stimmen. Doch zeigt FileZilla ja die Kennwörter nicht an, man sieht nur die für Passwort-Eingabefelder typischen Sternchen. Um die Kundin anzurufen und nach den Zugangsdaten zu fragen, war es schon zu spät am Abend. Was also tun?
Nun, es gibt die Möglichkeit, die gesamte Konfiguration aus FileZilla als XML-Datei zu exportieren, und in dieser Datei stehen dann die Kennwörter unverschleiert. Diese Lösung fand ich auf einem Verbraucherportal mit dem irreführenden Titel Gutes tun.
Nun kann man sich natürlich fragen, warum FileZilla keine Möglichkeit bietet, bei Bedarf auf sichtbare Passwörter umzustellen. Aus Sicherheitsgründen? Das ist Quark, denn Unbefugte können auf die oben beschriebene Weise die Daten eben doch ausspähen. Sie werden ja nicht verschlüsselt.
Wie auch immer – ich war froh über die lasche Sicherheit, denn so konnte ich gestern am späten Abend doch noch meine Arbeit zu Ende bringen.
Nachtrag 2. März 2017:
Inzwischen sind schon seit einiger Zeit die Passwörter in der Datei sitemanager.xml verschlüsselt. Unter Linux findet man sie unter Persönlicher Ordner > .config > filefilla. Allerdings wird nur eine base64-Codierung, die sich leicht decodieren lässt, verwendet. Ebenso werden die in exportierten Dateien stehenden Passwörter auf diese Weise verschlüsselt. Wer will, kommt also nach wie vor an die Passwörter heran. Allerdings nicht mehr mal so eben auf die Schnelle.