Questions WinSCP : Malwares? Passes cryptés?

noren · 22 Mai 2015

Salut

Je souhaiterais télécharger WinSCP pour remplacer mon filezilla mais j'aurais 2-3 petites questions.

1) WinSCP contient-il des malware/spyware ou je ne sais quoi encore? Si on le télécharge directement a partir du site WinSCp aucun soucis?
Si je pose cette question c’est que depuis quelques temps filezilla est fourni avec des malwares, même en passant via le site filezilla qui passe par sourceforge.

2) Lorsqu'on crée une session : enregistrement de l'hote, login et passe. le mot de passe est-il enregistré et conservé en claire comme sur Filezilla. Il me semble avoir lu que non, mais j'aimerais en avoir la confirmation.

UsagiYojimbo · 22 Mai 2015

1/ Non

2/ Non, en effet. pas d'enregistrement des pwd

noren · 22 Mai 2015

Merci :wink:

il les conserve comment nos mots de passe de nos sessions? il les crypte?

Marie-Aude · 22 Mai 2015

Tu as le choix entre les enregistrer ou pas.

noren · 22 Mai 2015

ah ok c'ets ce que je viens de voir a l'intsnat et j'allais poser la question. Si je l'enregistre ca va donc les stocker en clair?
Et si je l'enregistre pas, je vais devoir le taper a chaque fois que je veux me connecter c'est bien ça?

Enfin de compte il y aurait peut de différence niveau sécurité avec filezilla. Puis qu'on peut aussi tres bien ne pas enregistrer son mot de passe :/

noren · 22 Mai 2015

Bon la je comprend pas, si j'utilise la méthode de ne pas enregistrer le mot de passe, lorsque j'ai la fenêtre qui me demande le mot de passe et que je clique sur ok j'ai l'erreur suivante :

Code:

server unexpectedly closed network connection 

Authentification failed
The server rejected SFTP connection, but it listens of ftp connections

Did you want tu use FTP protocol instead of SFTP? Prefer usin encryption

Si je clique sur ok il revient sur la page login, si je clique sur reconnect j'ai a nouveau cette errur.

Petite précision, j'ai un hébergement performance chez ovh qui accepte les connection sftp. Et lorsque j'essaye de me connecter directement en faisant new session et en entrant toutes les informations dans login ca fonctionne.

J'ai seulement ce probleme si je souhaite enregistrer une session sans enregistrer le mot de passe (sans avoir ensuite a devoir resaisir l'hote et le login) et que je saisi le mot de passe pour me connecter.

spout · 22 Mai 2015

noren a dit:
Code:

The server rejected SFTP connection, but it listens of ftp connections

C'est clair, tu essayes de te connecter en SFTP (via SSH) sur un serveur FTP.
Le file protocol est mis à SFTP par défaut, met FTP à la place:

Ou bien le bon host name avec SSH.

Et quand tu cliques sur "Save", là il te demande si tu veux enregistrer le mot de passe (non coché par défaut).

noren · 22 Mai 2015

Non j'arrive bien à me connecter en SFTP si je rentre toutes les données directement dans la partie "new site" et que je clique sur connecter (sans faire aucune sauvegarde). j'ai bien marqué en bas de winSCP : SFTP-3
Je met bien ftp.monsite.ext
mon login
port 22
et le mot de passe

Par contre si j'enregistre la session et que je demande a ne pas enregistrer le mot de passe. Lorsque je clique sur connecter et qu'il me demande le mot de passe, je le saisi je clique et ca met cette erreur. Pourtant c’est exactement les mes infos de connection que je saisis. C'est à n'y rien comprendre...

J'aimerais bien n'avoir à saisir que mon mot de passe et pas à chaque fois mon login et hote :/

salva · 22 Mai 2015

Tu dois avoir des fichiers temporaires de sessions obsolètes qui polluent la connexion.

Quand tu lances WinSCP, dans le gestionnaire qui s'ouvre en bas et à gauche de la fenêtre, se trouve un bouton "Outils".
En cliquant sur ce dernier puis sur "Nettoyer" tu pourras supprimer les fichiers temporaires. Si ça ne change rien, supprime tous les fichiers et recommence la procédure.

Perso, quand j'ouvre une session, WinSCP me demande si je souhaite enregistrer le mot de passe pour la session courante.
Je peux ainsi travailler la journée sans avoir à me soucier du mot de passe.
Il faut sauvegarder les infos de connexion (ip serveur, nom utilisateur, port,..) avant de renseigner le mot de passe et avant de lancer la session.

noren · 22 Mai 2015

Arf je suis peut être pas toujours très malin, mais là, soit il y a soucis avec l'hébergeur, soit winSCP n’est clairement pas intuitif.

Bon j'ai fait "nettoyer" (j'ai tout coché)

J'ai tenté à nouveau, je saisi les infos, je sauvegarde (sans le mot de passe) et à ma première tentative de connection j'ai ceci :

je clique sur oui

puis ensuite il me demande mon mot de passe, une fois saisi j'ai à nouveau l'erreur.

J'arrive vraiment pas à comprendre pourquoi. :|
D'autant plus que lorsque j'essaye de me connecter en SFTP sans sauvegarder en passant directement par "new site" ca passe (alors qu'il me met également la 1ere fois se message sur la clé d'hôte, voir image), et lorsque je veux sauvegarder mon hote, login et port, puis qu'ensuite je saisi mon mot de passe après avoir cliqué sur connexion, là ça passe plus!

salva · 22 Mai 2015

Tu n'aurais pas installé sur version portable ?

noren · 22 Mai 2015

Non j'ai récupéré "Installation package" WinSCP 5.7.3

salva · 22 Mai 2015

J'ai les mêmes paramètres que toi à l'exception du nom d’hôte, chez moi c'est une IP.

Il me semble que sur la version portable tu peux renseigner le login directement dans le fichier .ini du dossier où s’exécute l'application.

noren · 23 Mai 2015

Bon je crois que je vais m'en tenir au ftp classique au lieu du sftp . De toute façon peu de chance d'être sniffer chez moi.
je vais juste ne pas rentrer le mot de passe et le saisir a chaque fois. Ca évitera les vols de mot de passe en cas d'intrusion de virus sur le PC même si quoi qu'il en soit on ne peut pas faire grand chose contre un keylogger.

La meilleur protection restera donc d'éviter de télécharger n'importe quoi sur le PC et d'éviter les sites suspects.

PS : si quelqu'un cependant à déjà rentré ce problème et a à trouvé la solution, je suis preneur :mrgreen:

ybet · 25 Mai 2015

Personnellement, j'utilise core FTP LE qui ne semble pas conserver les mots de passe. Pour le compte root du serveur, pas enregistré dans le système (j'utilise un fichier txt et fait un copier / coller -> même avec un key logger: le mot n'est pas transmis par clavier).

noren · 27 Mai 2015

Ok merci je regarderais également core FTP LE :wink:

spout · 27 Mai 2015

ybet a dit:
(j'utilise un fichier txt et fait un copier / coller -> même avec un key logger: le mot n'est pas transmis par clavier).

Pour les keyloggers les plus basiques, mais pas tous: -http://www.relytec.com/help/keylogger_textual.htm

De plus si c'est du FTP les identifiants passent qd même en clair sur le réseau...

Une meilleure soluce: SSH + authentification par clef.

ybet · 28 Mai 2015

spout a dit:
ybet a dit:

(j'utilise un fichier txt et fait un copier / coller -> même avec un key logger: le mot n'est pas transmis par clavier).

Cliquez pour agrandir...

Pour les keyloggers les plus basiques, mais pas tous: -http://www.relytec.com/help/keylogger_textual.htm

De plus si c'est du FTP les identifiants passent qd même en clair sur le réseau...

effectivement aucune solution n'est parfaite

Le root d'un serveur est automatiquement en SSH :wink:

spout · 28 Mai 2015

Pr SSH je désactive le login root:

Code:

PermitRootLogin no

Avec Debian 8 c'est même désactivé par défaut.