Dass man sich auf SourceForge so allerlei Malware eintreten kann, wenn man auf den falschen Downloadlink klickt ist ja mittlerweile keine Neuigkeit mehr. Dass diese unschönen Überraschungen aber auch automatisch dem offiziellen Download angeklebt werden (Drive-by-Download) hoffte ich lange missverstanden zu haben.
Wie dieser Thread im FileZilla-Forum (Update 2016-06-29: Der Thread wurde gelöscht) zeigt, scheint das Projekt nicht gewillt, die Gefahr einer Infektion von seinen Nutzern fernzuhalten und SourceForge den Rücken zu kehren. Auf entsprechende Forderungen in diesem Thread wurde nicht eingegangen. Ganz im Gegensatz zu der Behauptung, FileZilla würde die Passwörter im Klartext speichern. Die Reaktion:
As far as the password storage goes, you are not up-to-date. They are stored base64-encoded now.
Many secure. So obfuscate. Wow.
Das war’s dann. Mir ist jetzt im Nachhinein gar nicht klar, warum ich ein so rottiges Stück Software derart lange auf meinem Rechner gelassen habe.
Alternativen
Ein möglicher Grund wäre, dass die Alternativen für OS X gar nicht so breit gestreut sind. Die bekannteste dürfte Cyberduck sein. Die in FileZilla gespeicherten Verbindungen wurden gleich als Lesezeichen importiert und die zugehörigen Passwörter in die Keychain gelegt, wie es sich gehört. Allerdings konnte ich mich zu keinem der gespeicherten Server verbinden und die Lesezeichen verschwanden beim Neustart des Programms. Ein manuelles Eintragen der Verbindungen hat dieses Problem aber aus der Welt geschafft. Jetzt muss sich die Software noch bewähren, die anfängliche Freude über den Wechsel hat schon einen kleinen Kratzer abbekommen.
