Ahoi,
OK sorry nochmals wenn es a) wieder OT ist und b) ich Schwierigkeiten habe, deinen nicht ganz in verständlichem Deutsch geschriebenen Text zu verstehen (kein Angriff, aber die Sätze muss ich 3x lesen um zu verstehen was gemeint ist).
So wie ich es verstehe, sagst du Filezilla ist unsicher weil
1) es in einem dubiosen Blog so erzählt wird
2) es Passwörter, die man in das Programm eingibt, auf der lokalen(!) Festplatte speichert
3) ein böses Programm jedweder Art oder ein Fremder an meinem Rechner dieses gespeicherte Passwort einfach auslesen kann?
Mit Verlaub - das ist totaler Unfug. Das hat rein gar nichts mit FileZilla zu tun (und wurde dort schon anno tuck - ich glaube 2009) als Security "Bug" abgelehnt, weil es schlichtweg kein Bug ist.
Jedes Programm, das lokal Zugangsdaten speichert, hat dieses "große" Security Problem. Und das existiert nicht erst seit es Trojaner und Viren gibt, sondern schon immer. Der Punkt ist: speichere ich lokale Daten, muss ich _immer_ davon ausgehen, dass _sofern_ jemand Zugriff auf meinen Rechner bekommt, er an diese Daten auch herankommt. Ob ich als Entwickler einer Software nun hingehe und die Daten noch Salze und mit einem Hash verknote oder nicht - sobald jemand auf meinem Rechner herumwuselt außer mir selbst, ist der Zugang potentiell kompromittiert. Das hat nun aber eben rein gar nichts mit Filezilla zu tun. Das träfe das in deinem Blog Beitrag zitierte WinSCP exakt genauso, nur werden hier die Zugriffe und das Passwort ggf. in der Registry gespeichert (kann aber auch in Config Dateien exportiert werden).
Der Punkt ist: Ist dein lokales System kompromittiert - egal wie(!) - ist davon auszugehen, dass alles was darauf gespeichert ist/war ebenfalls kompromittiert ist. Das kann man sich schönreden und sagen "Programm (a) speichert ja alles verschlüsselt", das ist aber Wunschdenken. Mit heutiger Prozessorpower und Mechanismen wie ausgefeilten Wörterbuchattacken, Rainbow-Tabellen etc. etc. halten schlechte Passwörter keine Stunde mehr bis sie geknackt sind. Und warum überhaupt die Mühe machen, wenn ich eh schon Zugang zum Rechner habe benutze ich entweder selbigen direkt um das Programm auszuführen und mich zu verbinden, oder kopieren mir das komplette Programm inkl. Konfiguration etc. auf meinen Rechner und starte es da. Dann ist mir egal ob die Konfiguration verschlüsselt ist - das Programm startet ja und kann es auslesen.
Ob man in Filezilla oder jedem anderen Programm das Passwort speichert oder nicht, liegt beim Benutzer. Wenn er den Haken nicht reinmacht wird auch nichts gespeichert. So einfach. Und das alles hilft nichts, wenn ein Trojaner alle Tastenanschläge überwacht. Wie gesagt, ist der Rechner unsicher, hilft gar nichts mehr. Alle Beispiele - auch in dem genannten Artikel - erzählen Beispiele, in denen der Rechner eh schon gefallen ist. Da interessiert es mich herzlich wenig, ob ein Filezilla meine Passwörter nun im Klartext speichert oder nicht. Dann habe ich ganz andere Probleme
Sorry wenns länger wurde, aber ich musste einfach mal kurz diesen schrägen "Mythos" und die Panikmache entkräften.