ガンプラー(Gumblar)騒ぎの後、FFFTPが危ないというデマにまんまと乗っちゃって(^^;(何せ、情報が少なかったからなあ)FTP クライアントをあれこれと試してたんだが、今のところ、Firefox のアドオンソフトの FireFTP の利用に落ち着いている。
理由は、Windows と Mac OS X でまったく同じインタフェースで使えるから。
これに尽きる。
WS_FTP Pro でマクロ組んで FTP の自動実行してます...的な人は厳しいが、FFFTP からの乗り換えであれば、機能的にはまったく問題ない。
以前、SFTP 対応のクライアントということで WinSCP も試したが、FireFTP も SFTP に対応しているから、Windows 版しか無い WinSCP を使う理由も特にない。
ま、ちょっとね、動きがもそっとしてる感はあるんだけど(実際、大量のデータを put してると、数十秒間再接続待ちになったりする)、大きな問題がなければこのまま FireFTP に落ち着きそう。
もっとも、SFTP ではなく FTP の使用に関して言えば、FFFTP でも全然問題ない話だ。
いや、つーか、「FFFTP でも、他の FTP でも同じように問題があるから、FFFTP だけが問題あるような、他のクライアントを使えば安全だという考えがおかしい」というのが正解だ。
結局、マルウェアに感染すれば、どんなソフトを使っていようと FTP の ID/PW は盗まれる。暗号化せずに ID/PW が流れてるんで、そのデータを盗聴する簡単なプログラムを仕込めばいいだけだ。
確かに、FFFTP の「接続先情報をレジストリに書き込む」仕様は問題だった。レジストリを丸ごと盗むマルウェアは多く、あんなところに大切な情報は書き込んじゃ駄目だ。
でも、俺は元々複数のパソコンで接続先情報を共有するためにレジストリではなく INI ファイルに書き出す設定で使ってたし、それなら FFFTP の利用がセキュリティ的に大きな問題があるとは言えない。
FFFTP のパスワードの暗号化が「可逆」だという問題はあるかもしれないが、「FFFTP の INI ファイルを盗み出す」マルウェアを作るくらいなら、普通は「FTP 通信を盗聴して ID/PW を盗む」マルウェアを作るだろう。そういう意味で、FFFTP の INI ファイル上のパスワードが可逆暗号であることの脆弱性は実はそんなに問題ではない。だって、NextFTP を始め、当初「安全だ」と言われていた FTP クライアントだってパスワード盗まれてるんだから。
要は、「マルウェアになるべく感染しない」環境を作ることが大事なのであって、「FFFTP を使わない」なんて全然セキュリティ的には意味がないことだ。
俺自身も「FFFTP 危ないっすよ!」とデマを広めてしまった失態を演じちゃったので、ここで FFFTP の名誉回復をしときますぜ。(と言っても、もちろんガンブラー対応版の FFFTP を使った方が良いに決まってることも併記しておきます)