Ο δημιουργός της εφαρμογής διαχείρισης password -KeePass 2- αρνείται να κλείσει ένα πρόβλημα ασφαλείας στον τρόπο που αυτή κάνει έλεγχο για updates, για να μην χάσει έσοδα από τις διαφημίσεις της. Η αναβάθμιση θα κρυπτογραφήσει το web traffic κάνοντας δύσκολο το σερβίρισμα διαφημίσεων στους χρήστες.
Οι επιπτώσεις αυτής της τακτικής του μπορεί να είναι σοβαρές, μιας και ένας επιτιθέμενος μπορεί να παρέμβει στην διαδικασία αναβάθμισης (Man in the middle) και να εγκαταστήσει malware στον υπολογιστή-θύμα.
Ο Dominik Reichl που αναπτύσσει το KeePass 2, αποδέχεται πως πρέπει να περάσει σε κρυπτογράφηση της κίνησης δεδομένων και σκοπεύει να το κάνει όποτε νομίζει πως αυτό είναι εφικτό. Οι χρήστες του password manager καλό είναι να κάνουν έλεγχο για το αν αναβαθμίζουν από έγκυρο, ψηφιακό υπογεγραμμένο αρχείο αναβάθμισης.
στο παρακάτω video βλέπετε μια επίδειξη επίθεσης MitM στο KeePass 2
Πηγή : Engadget
Εμφάνιση 1-15 από 22
-
05-06-16, 11:47 Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.756
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
05-06-16, 11:54 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #2
Το να εμπιστευεσαι κωδικους σε τετοια προγραμματα ειναι ισοδυναμο με το να εμπιστευεται καποιος την ασφαλεια του υπολογιστη σου σε antivirus.
-
05-06-16, 12:36 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #3
Κάπως πρέπει να ζήσει κι αυτός. Από την άλληυ, δεν χρειάζεται να κάνεις αυτόματη αναβάθμιση.
Το χρησημοποιώ και το έχω στην Block list του Firewall. Δεν χρειάζεται να έχζει πρόσβαση με το Internet.
Ο manager είναι για χρήση τοπικά.Αν υπάρχουν αναβαθμίσεις ασφαλείας το ελέγχω μό9νος μου.ΕΝ ΟΙΔΑ ΟΤΙ ΟΥΔΕΝ ΟΙΔΑ
-
05-06-16, 12:55 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #4
Απενεργοποίηση της αυτόματης αναβάθμισης και των ελέγχων και τελειώνει το θέμα. Κάτι καλύτερο δεν υπάρχει.
-
05-06-16, 13:03 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #5
Ενδιαφέρον επειδή βλέπω ότι δίνει και το source code.
Υπάρχει βέβαια και το KeePassX που είναι cross-platform (νομίζω πριν γίνει το απλό keepass) και ο κώδικας είναι κάτω από GNU.
Το χρησιμοποιώ χρόνια χωρίς πρόβλημα (το KeePassX).
Ούτε καν κάνω αναβάθμιση. Απλά τους κωδικούς τους κάνω "copy/paste" χειροκίνητα και δεν χρησιμοποιώ διευκολύνσεις για άμεσο completion κλπ.
Δεν χρειάζονται άλλωστε και ιδιαίτερα (πιο πολλά προβλήματα μπορεί να δημιουργήσουν από αυτά που λύνουν).Τελευταία επεξεργασία από το μέλος Φανερός Πράκτωρ : 05-06-16 στις 13:26.
Υδραυλικός, φωτογράφος, εραστής και ποιητής...
http://www.flickr.com/photos/120411235@N06/
-
05-06-16, 13:27 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #6It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
05-06-16, 15:14 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #7
Συγνώμη αλλά δεν είναι CVE είναι FUD, ή καλύτερα λίγο και από τα 2.
Ναι χαζός/χαζοί οι dev και κολλημένοι σχετικά με τα ads και θα μπορούσαν απλά να το λήξουν κάνοντας μία αλλαγή. Το συγκεκριμένο "exploit" ( ) όμως μπορεί να το αναφέρει ο καθένας για όποια υπηρεσία/πρόγραμμα θέλει. Ο κόσμος απλά όπως πάντα τρελαίνεται και βγάζει συμπεράσματα και γίνεται χαμός.
Μια χαρά το keepassX για όποιον δεν γουστάρει, απλά δεν έχει plugins. Προσωπικά δεν χρησιμοποιώ plugins.
-
05-06-16, 15:17 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #8
στη wikepedia διάβασα ότι
...binaries on the real download page are cryptographically signed....
Εδώ ο μάστορας φαίνεται ότι απολογείται: https://sourceforge.net/p/keepass/di...e430cc12/#f398
κάντε uncheck το κουτί 'Check for updates at KeePass at startup' στο tools-options-Advanced και τελείωσε.
Εγώ πάντως το χρησιμοποιώ και το συνιστώ, είναι εύκολο και κάνει τη δουλειά και επιτρέπει διάφορα προς όφελος του χρήστη, πχ διαφορετικά passwords σε διαφορετικές database και με τυχαίο filename. Βγαίνει και σε portable.
Είναι και τζάμπα και open source.
edit:εμπιστευεται καποιος την ασφαλεια του υπολογιστη σου σε antivirus.Τελευταία επεξεργασία από το μέλος eyw : 05-06-16 στις 15:37.
-
05-06-16, 15:57 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #9
-
05-06-16, 17:29 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #10
Δεν χρησιμοποιώ το πρόγραμμα αλλά από ότι κατάλαβα από το video, το επιχείρημα για τις διαφημίσεις δεν ισχύει. Και για μένα δεν είναι ουσιαστικά true attack.
Εξηγούμαι:
Από ότι φαίνεται το πρόγραμμα απλά checkάρει την έκδοση. Αν υπάρχει νεότερη ανοίγει την σελίδα στον browser για να το κατεβάσεις εσύ και να το εγκαταστήσεις.
Οπότε είσαι υπεύθυνος για να ελέγξεις την αυθεντικότητα του αρχείου. Γιατί αυτό το attack θα υπήρχε ακόμα και αν πήγαινες μόνο σου στο site για να κατεβάσεις και σου σερβιριζόταν κακόβουλη σελίδα με το αρχείο.
Από την άλλη, ο dev άνετα θα μπορούσε να ενεργοποιήσει το SSL\TLS στις σελίδες του. Αφού έτσι κι αλλιώς τις ανοίγει στον browser, οι διαφημίσεις θα φορτώσουν και με το SSL\TLS ενεργοποιημένο.
Εκτός αν υπάρχει κάτι άλλο που δεν καταλαβαίνω (δεν διάβασα τα links, μόνο το video)Κάνω προσπάθεια να βάζω ; αντι για ?
-
05-06-16, 21:58 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #11
Εντάξει, τρομακτικός ο τίτλος.
Λίγο προσοχή από τον χρήστη θέλει στη διαδικασία της αναβάθμισης. Ευτυχώς οι χρήστες στους οποίους απευθύνεται το πρόγραμμα, λογικά μπορούν να αντιληφθούν το πρόβλημα και να λάβουν τα μέτρα τους.
Από την άλλη η στάση του dev είναι απαράδεκτη. Κάνει συμβιβασμούς ακριβώς εκεί που δεν πρέπει να κάνει.
Εγώ το χρησιμοποιώ και δεν το συγκρίνω με καμία άλλη μέθοδο διαχείρισης κωδικών. Τουλάχιστο με καμία από όσες γνωρίζω.
Αν έχει κάποιος να προτείνει μία καλύτερη μέθοδο (όχι απαραίτητα λογισμικό, σε μέθοδο αναφέρομαι) ας ενημερώσει.
-
05-06-16, 23:28 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #12
Για καλύτερη μέθοδο θα πρότεινα security key (FIDO U2F) και αυτό όχι γιατί δεν είναι καλό το keepass (ή όποιος άλλος manager έχετε) αλλά:
είτε ποτέ δεν ξέρεις ποιός keylogger θα διαβάζει clipboard και τι θα παρακάμπτει απο το λειτουργικό
είτε πότε θα αποκαλυφθει-ανακαλυφθεί το επόμενο heartbleed
είτε πότε θα πουληθούν/κλαπούν usernames και passwords απο κάποιο δημοφιλέστατο site.
είτε κλπ κλπ κλπ.
Για τα e-mail (τουλάχιστον τα επαγγελματικά-εταιρικά) οπωσδήποτε text στο κινητό.
Two step verification όπου γίνεται ή όπου νομίζετε ότι αξίζει τον κόπο.
Το password σήμερα απο μόνο του δεν λέει και πολλά πράγματα, απλώς εμποδίζει τον διπλανό σας ή τη σύζυγο να κάνει log-in στα account σας.
-
06-06-16, 00:44 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #13
Ειναι open source (και το κορυφαίο) όποιος δεν το θέλει ψάχνει αλλού η το κάνει fork και το φέρνει στα μέτρα του, απολυτα κατανοητό απο μεριά του developer το ότι δεν θέλει να μειώσει τα έσοδα του πόσο μάλλον όταν υπάρχει διαθέσιμο workaround.
The world can change by your actions not by your opinions
-
06-06-16, 04:31 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #14
Δεν καταλαβαίνω γιατί θα χάσει διαφημιστικά έσοδα απο τη χρήση https. Όπως και να έχει, πολύ κακό για το τίποτα είναι αυτή η ιστορία. Το κενό ασφάλειας υπάρχει αλλά είναι δύσκολο να το εκμεταλευτεί κάποιος και απο την άλλη είναι πανεύκολο να το κλείσεις.
Οπότε να υποθέσω οτι εσύ τους κωδικούς σου τους γράφεις σε postit πάνω στην οθόνη ε;
-
06-06-16, 10:28 Απάντηση: Ο developer του KeePass 2 δεν κλείνει κενό ασφαλείας για να μην χάσει διαφημιστικά έσοδα #15
Παρόμοια Θέματα
-
Παιδια μια βοηθεια σχετικα με ενα τροφοδοτικο και μια καρτα γραφικων για να μην κανω καμια βλακεια
Από Fear στο φόρουμ Κουτιά, τροφοδοτικά και ψύξηΜηνύματα: 19Τελευταίο Μήνυμα: 20-12-15, 16:43 -
Βοήθεια για να φύγουν τα διαφημιστικά
Από Orange_Juice στο φόρουμ Software γενικάΜηνύματα: 9Τελευταίο Μήνυμα: 26-08-15, 15:36 -
Η Microsoft κλείνει πολύ σοβαρό κενό ασφαλείας των Windows που αφορά USB συσκευές
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 9Τελευταίο Μήνυμα: 16-08-15, 12:40 -
Επικοινωνία ΥΠΟΜΕΔΙ με τις εταιρείες τηλεπικοινωνιών, για να μην διακοπούν συνδέσεις λόγω ληξιπρόθεσμων λογαριασμών
Από ΑΛΦΟΣ στο φόρουμ ΕιδήσειςΜηνύματα: 9Τελευταίο Μήνυμα: 04-07-15, 18:01
Bookmarks