Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα

[nnn]

Ο δημιουργός της εφαρμογής διαχείρισης password -KeePass 2- αρνείται να κλείσει ένα πρόβλημα ασφαλείας στον τρόπο που αυτή κάνει έλεγχο για updates, για να μην χάσει έσοδα από τις διαφημίσεις της. Η αναβάθμιση θα κρυπτογραφήσει το web traffic κάνοντας δύσκολο το σερβίρισμα διαφημίσεων στους χρήστες.

Οι επιπτώσεις αυτής της τακτικής του μπορεί να είναι σοβαρές, μιας και ένας επιτιθέμενος μπορεί να παρέμβει στην διαδικασία αναβάθμισης (Man in the middle) και να εγκαταστήσει malware στον υπολογιστή-θύμα.

Ο Dominik Reichl που αναπτύσσει το KeePass 2, αποδέχεται πως πρέπει να περάσει σε κρυπτογράφηση της κίνησης δεδομένων και σκοπεύει να το κάνει όποτε νομίζει πως αυτό είναι εφικτό. Οι χρήστες του password manager καλό είναι να κάνουν έλεγχο για το αν αναβαθμίζουν από έγκυρο, ψηφιακό υπογεγραμμένο αρχείο αναβάθμισης.

στο παρακάτω video βλέπετε μια επίδειξη επίθεσης MitM στο KeePass 2

Πηγή : Engadget

[turboirc]

Το να εμπιστευεσαι κωδικους σε τετοια προγραμματα ειναι ισοδυναμο με το να εμπιστευεται καποιος την ασφαλεια του υπολογιστη σου σε antivirus.

[biggeo65]

Κάπως πρέπει να ζήσει κι αυτός. Από την άλληυ, δεν χρειάζεται να κάνεις αυτόματη αναβάθμιση.
Το χρησημοποιώ και το έχω στην Block list του Firewall. Δεν χρειάζεται να έχζει πρόσβαση με το Internet.

Ο manager είναι για χρήση τοπικά.Αν υπάρχουν αναβαθμίσεις ασφαλείας το ελέγχω μό9νος μου.

[kourampies]

Απενεργοποίηση της αυτόματης αναβάθμισης και των ελέγχων και τελειώνει το θέμα. Κάτι καλύτερο δεν υπάρχει.

[Φανερός Πράκτωρ]

Ενδιαφέρον επειδή βλέπω ότι δίνει και το source code.
Υπάρχει βέβαια και το KeePassX που είναι cross-platform (νομίζω πριν γίνει το απλό keepass) και ο κώδικας είναι κάτω από GNU.

Το χρησιμοποιώ χρόνια χωρίς πρόβλημα (το KeePassX).
Ούτε καν κάνω αναβάθμιση. Απλά τους κωδικούς τους κάνω "copy/paste" χειροκίνητα και δεν χρησιμοποιώ διευκολύνσεις για άμεσο completion κλπ.

Δεν χρειάζονται άλλωστε και ιδιαίτερα (πιο πολλά προβλήματα μπορεί να δημιουργήσουν από αυτά που λύνουν).

[mobinmob]

Η είδηση μπορεί να θεωρηθεί και επιχείρημα για την χρήση κοινών εργαλείων για αναβαθμίσεις σε ένα OS

- - - Updated - - -

Ενδιαφέρον επειδή βλέπω ότι δίνει και το source code.
Υπάρχει βέβαια και το KeePassX που είναι cross-platform (νομίζω πριν γίνει το απλό keepass) και ο κώδικας είναι κάτω από GNU.

GNU GPL είναι η άδεια χρήσης και για το keepass2.

[Tiven]

Συγνώμη αλλά δεν είναι CVE είναι FUD, ή καλύτερα λίγο και από τα 2.

Ναι χαζός/χαζοί οι dev και κολλημένοι σχετικά με τα ads και θα μπορούσαν απλά να το λήξουν κάνοντας μία αλλαγή. Το συγκεκριμένο "exploit" ( ) όμως μπορεί να το αναφέρει ο καθένας για όποια υπηρεσία/πρόγραμμα θέλει. Ο κόσμος απλά όπως πάντα τρελαίνεται και βγάζει συμπεράσματα και γίνεται χαμός.

Μια χαρά το keepassX για όποιον δεν γουστάρει, απλά δεν έχει plugins. Προσωπικά δεν χρησιμοποιώ plugins.

[eyw]

στη wikepedia διάβασα ότι

...binaries on the real download page are cryptographically signed....

Εχει βγεί και CVE.
Εδώ ο μάστορας φαίνεται ότι απολογείται: https://sourceforge.net/p/keepass/di...e430cc12/#f398

κάντε uncheck το κουτί 'Check for updates at KeePass at startup' στο tools-options-Advanced και τελείωσε.

Εγώ πάντως το χρησιμοποιώ και το συνιστώ, είναι εύκολο και κάνει τη δουλειά και επιτρέπει διάφορα προς όφελος του χρήστη, πχ διαφορετικά passwords σε διαφορετικές database και με τυχαίο filename. Βγαίνει και σε portable.
Είναι και τζάμπα και open source.

edit:

εμπιστευεται καποιος την ασφαλεια του υπολογιστη σου σε antivirus.

προτιμώ να έχω τερματοφύλακα και καμιά φορά ας τρώει γκολ. Αλλιώς FreeBSD.

[Wonderland]

Για όποιον ψάχνει εναλλακτικές, θα πρότεινα και το Sticky Password που μεταξύ άλλων επιτρέπει τον «συγχρονισμό» της password database αποκλειστικά μέσα στο τοπικό μας δίκτυο (χωρίς να εμπλέκεται καθόλου το cloud, για όποιον δεν το επιθυμεί).

[hammered]

Δεν χρησιμοποιώ το πρόγραμμα αλλά από ότι κατάλαβα από το video, το επιχείρημα για τις διαφημίσεις δεν ισχύει. Και για μένα δεν είναι ουσιαστικά true attack.
Εξηγούμαι:

Από ότι φαίνεται το πρόγραμμα απλά checkάρει την έκδοση. Αν υπάρχει νεότερη ανοίγει την σελίδα στον browser για να το κατεβάσεις εσύ και να το εγκαταστήσεις.
Οπότε είσαι υπεύθυνος για να ελέγξεις την αυθεντικότητα του αρχείου. Γιατί αυτό το attack θα υπήρχε ακόμα και αν πήγαινες μόνο σου στο site για να κατεβάσεις και σου σερβιριζόταν κακόβουλη σελίδα με το αρχείο.
Από την άλλη, ο dev άνετα θα μπορούσε να ενεργοποιήσει το SSL\TLS στις σελίδες του. Αφού έτσι κι αλλιώς τις ανοίγει στον browser, οι διαφημίσεις θα φορτώσουν και με το SSL\TLS ενεργοποιημένο.

Εκτός αν υπάρχει κάτι άλλο που δεν καταλαβαίνω (δεν διάβασα τα links, μόνο το video)

[sgiak]

Εντάξει, τρομακτικός ο τίτλος.
Λίγο προσοχή από τον χρήστη θέλει στη διαδικασία της αναβάθμισης. Ευτυχώς οι χρήστες στους οποίους απευθύνεται το πρόγραμμα, λογικά μπορούν να αντιληφθούν το πρόβλημα και να λάβουν τα μέτρα τους.

Από την άλλη η στάση του dev είναι απαράδεκτη. Κάνει συμβιβασμούς ακριβώς εκεί που δεν πρέπει να κάνει.

Εγώ το χρησιμοποιώ και δεν το συγκρίνω με καμία άλλη μέθοδο διαχείρισης κωδικών. Τουλάχιστο με καμία από όσες γνωρίζω.
Αν έχει κάποιος να προτείνει μία καλύτερη μέθοδο (όχι απαραίτητα λογισμικό, σε μέθοδο αναφέρομαι) ας ενημερώσει.

[eyw]

Για καλύτερη μέθοδο θα πρότεινα security key (FIDO U2F) και αυτό όχι γιατί δεν είναι καλό το keepass (ή όποιος άλλος manager έχετε) αλλά:
είτε ποτέ δεν ξέρεις ποιός keylogger θα διαβάζει clipboard και τι θα παρακάμπτει απο το λειτουργικό
είτε πότε θα αποκαλυφθει-ανακαλυφθεί το επόμενο heartbleed
είτε πότε θα πουληθούν/κλαπούν usernames και passwords απο κάποιο δημοφιλέστατο site.
είτε κλπ κλπ κλπ.

Για τα e-mail (τουλάχιστον τα επαγγελματικά-εταιρικά) οπωσδήποτε text στο κινητό.
Two step verification όπου γίνεται ή όπου νομίζετε ότι αξίζει τον κόπο.
Το password σήμερα απο μόνο του δεν λέει και πολλά πράγματα, απλώς εμποδίζει τον διπλανό σας ή τη σύζυγο να κάνει log-in στα account σας.

[Revolution]

Ειναι open source (και το κορυφαίο) όποιος δεν το θέλει ψάχνει αλλού η το κάνει fork και το φέρνει στα μέτρα του, απολυτα κατανοητό απο μεριά του developer το ότι δεν θέλει να μειώσει τα έσοδα του πόσο μάλλον όταν υπάρχει διαθέσιμο workaround.

[aiolos.01]

Δεν καταλαβαίνω γιατί θα χάσει διαφημιστικά έσοδα απο τη χρήση https. Όπως και να έχει, πολύ κακό για το τίποτα είναι αυτή η ιστορία. Το κενό ασφάλειας υπάρχει αλλά είναι δύσκολο να το εκμεταλευτεί κάποιος και απο την άλλη είναι πανεύκολο να το κλείσεις.

Το να εμπιστευεσαι κωδικους σε τετοια προγραμματα ειναι ισοδυναμο με το να εμπιστευεται καποιος την ασφαλεια του υπολογιστη σου σε antivirus.

Οπότε να υποθέσω οτι εσύ τους κωδικούς σου τους γράφεις σε postit πάνω στην οθόνη ε;

[MitsakosGR]

Οπότε να υποθέσω οτι εσύ τους κωδικούς σου τους γράφεις σε postit πάνω στην οθόνη ε;

Αν το σκεφτείς όμως αντιμετωπίζει όλες τις δικτυακές επιθέσεις και λοιπά προγράμματα spyware-adware-virus-trojan κτλ κτλ!!!!