ComputerBase Menü
Aktuelles

News Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar

Danke für die Erwähnung... Hier scheint es sich wohl um den Vergleich "Äpfel und Birnen" zu handeln.

Ich für meinen Teil kann sagen, "juckt mich nicht" da die automatische Update Funktion deaktiviert ist. Für Updates gibt es zig direkte Downloads und das war es dann. Aber ich finde das Tool "Burp Suite" ganz nett... wenn ich das richtig gelesen habe, kann ich ja mal die erbauten Webseiten meiner Kollegen überprüfen und testen :)

Gruß, Domi
 
@nille02
Ahso, ich dachte es geht nur um den "check" an sich.
Naja, ich lade es auch immer von der Seite selbst runter, aber richtig wird es dadurch nicht ;/
 
Dann wird halt KeePassX genutzt.
 
nille02 schrieb:
Aber selbst mit https wäre ein Man in the Middle möglich, wenn kein certificate pinning genutzt wird.
Zum Vergrößern anklicken....

Genau das ist der Punkt! Irgendwer schreit, weil HTTP unsicher ist, aber HTTPS bietet in dem Punkt auch keinerlei Sicherheit. Der Download der Software wird verschlüsselt, aber man kann sich trotzdem nicht sicher sein, mit der richtigen Person zu kommunizieren.
 
Ich nutze seit Jahren Mateso Password Safe kostet zwar etwas Geld jedoch ist der auch relativ sicher.
 
fethomm schrieb:
CB ist eine Webseite, KeePass ein sicherheitrelevantes Tool. Das ist wohl doch ein Unterschied.
Zum Vergrößern anklicken....

Nein, in erster Linie geht es hier auch nur um eine Webseite. Hier wird etwas aufgebauscht, das schlicht völliger Nonsense ist. Am Ende wird die Datei bei Sourceforge geladen, wer sagt, dass dieser Dienst nicht gehackt wird und dort eine geänderte Binary runter geladen wird.

Immerhin ist es doch ein rein manueller Prozess, es ist ja nicht so, dass KeePass vollautomatisch ein ungeprüftes Update rüberbügelt, das wäre eine Sicherheitslücke.

Und ja, eure Download links kommen auch nicht von einer HTTPS gesicherten Verbindung, woher soll ich wissen, dass das bei CB geladene Keypass dem original entspricht? Oder das eure News echt sind?

Schreibt eure Artikel etwas besser, dann würde hier nicht wieder eine Massenpanik entsteht und die Existenzgrundlage eines Programmierers zerstört werden. Denn das Produkt an sich hat ja keine Fehler.
 
Auch wenn ich die Reaktion von dem Entwickler nicht gut finde, ist es schon amüsant zu sehen wie viele Leute sich allein auf HTTPS verlassen. Der Entwickler schreibt ja selbst in seinem Eintrag auf SF, dass man ja auf Nummer sicher gehen kann und die Signatur des Binarys überprüfen kann. Wenn man das nicht macht, ists wurscht ob der Download über HTTP oder HTTPS kam.
Trotzdem finde ich, dass er diese Situation was die Update-Message angeht lösen sollte. Da diese ohnehin nur auf seine Seite verlinkt könnte man sich überlegen ob man nicht direkt einen Auto-Update-Mechanismus implementiert oder die Message ganz raus nimmt!
 
fethomm schrieb:
CB ist eine Webseite, KeePass ein sicherheitrelevantes Tool. Das ist wohl doch ein Unterschied.
Zum Vergrößern anklicken....

Beide sind anscheint auf Werbeeinnamen angewiesen. HTTPS bringt keinerlei Sicherheit vor MitM angriffen.
 
ich würde dem Freak ne Email schreiben das er sich dann sein Programm sonstwo hinstecken kann..und tschüss
 
wannabe_nerd schrieb:
Da diese ohnehin nur auf seine Seite verlinkt könnte man sich überlegen ob man nicht direkt einen Auto-Update-Mechanismus implementiert oder die Message ganz raus nimmt!
Zum Vergrößern anklicken....

Die Meldung ist gut aber automatisches Update wäre besser aber das würde seine Werbeeinnamen weiter reduzieren. Wer geht noch auf die Website, wenn die Anwendung sich selber aktualisiert.
 
Unter Linux ist doch die Update funktion völlig irrelevant, weil das doch übers repo der distri kommen sollte oder?
 
KillX schrieb:
Unter Linux ist doch die Update funktion völlig irrelevant, weil das doch übers repo der distri kommen sollte oder?
Zum Vergrößern anklicken....

Jup, aber seine Zielgruppe liegt dort auch nicht.
 
Separate Subdomain für den Updatecheck und den Download mit Lets Encrypt und das Problem wäre umgangen ohne auf Werbeeinnahmen zu verzichten. Unschön dass er das nicht umsetzen will, aber bei einem kostenlosen Produkt seine Sache ;)

Aus Interesse: Welche Passwortmanager mit Synchronisation über $CLOUDPROVIDER oder self-hosted (KeeAnywhere etc), am liebsten SFTP, Clients für Win/Linux/OSX/iOS/Android, Unterstützung für den Browser (KeePassHTTP/chromeIPass), SSH-Agent (KeeAgent) und, ganz wichtig, portabler Installation ohne Adminrechte(!) gibt es denn sonst noch? :)
 
Linus9000 schrieb:
Separate Subdomain für den Updatecheck und den Download mit Lets Encrypt und das Problem wäre umgangen ohne auf Werbeeinnahmen zu verzichten. Unschön dass er das nicht umsetzen will, aber bei einem kostenlosen Produkt seine Sache ;)
Zum Vergrößern anklicken....

Man in the Middle geht auch mit HTTPS. Das aufgebauschte Problem hier existiert nicht bzw betrifft alle.
 
"Sicherheitslücke" Benutzer. Ist ja wirklich nichts neues und gegen diese kann auch die beste Software nichts machen.

Rollkragen schrieb:
Ich nutze seit Jahren Mateso Password Safe kostet zwar etwas Geld jedoch ist der auch relativ sicher.
Zum Vergrößern anklicken....

Kannst du dir da sicher sein, bei Closed Source und ohne Code Reviews?
 
Keefox (das wahrscheinlich prominenteste Gegenstück zu KeePass im Browser) ist nicht besser. Deren Datensammelwut kann nicht abgestellt, lediglich reduziert werden. Die entsprechenden opt-out Möglichkeiten im Frontend sind irreführend. Es geht nur per Sourcecode. Streitet der Coder auch nicht ab, sieht es aber als "notwendiges Übel". Er kann sich diese Großspurigkeit offensichtlich erlauben. Wer den Quellcode nicht selbst ändern kann, ist dem ausgeliefert.

https://github.com/luckyrat/KeeFox/wiki/en-|-Metrics-collection
 
Uridium, diese Art der Datenerhebung hat aber nichts mit Datensammelwut oder Werbung zu tun. Das sind einfach Daten die für Entwickler interessant sind um die Anwendung zu verbessern.
 
Dass MitM auch mit HTTPS funktioniert ist mir bewusst, ein gefälschtes beglaubigtes SSL-Zertifikat zu bekommen ist aber schwieriger als gar keines zu brauchen. Der Punkt ist, dass der hier kritisierte Punkt mit wenig Aufwand und kaum Einschränkungen, insbesondere nicht solchen im Bereich der Finanzierung durch Werbung, entschärft werden könnte. Mir ist diese "Lücke" schlicht nicht wichtig genug um KeePass zu verlassen, solange ich keine mindestens gleichwertige Alternative habe.
 
Zuletzt bearbeitet:
Als Linux Benutzer ist mir das egal. :)

Aber letztendlich gehört schon ne Portion Userdummheit dazu, damit diese "Lücke" wirklich ausgenutzt werden kann. Immerhin kann man eine Phishingseite mit einem Blick in die Adresszeile erkennen. Ist ja wie bei Spam-Mails.
 
Soso, https bringt also ultimative Sicherheit.
Schonmal nachgeschaut, wer für ein aktuelles Windows, Firefox, Chrome etc. so alles gültige Zertifikate ausstellen kann? Die Liste ist lang.

Und dann kommt noch so etwas hier dazu:
http://www.pcworld.com/article/2999...ificates-following-botched-investigation.html
http://securityaffairs.co/wordpress/47822/breaking-news/blue-coat-surveillance-certificates.html
Ups. Aber alles nur für "testing".

Ja, https ist immer schöner als http, aber absolute Sicherheit bringt es auch nicht. Und da Keepass nichts automatisch herunterlädt und installiert, braucht man sich wirklich nicht künstlich aufregen.

Ganz im Gegenteil: Hat man sich einmal den Schlüssel des Entwicklers heruntergeladen (zugegeben unsicher), dann kann man danach jedes einzelne Release mit openpgp prüfen, ganz egal, aus welcher Quelle es kommt:
http://keepass.info/integrity_sig.html

Das ist vorbildlich.

Und wer möchte, kann sich ja den sourcecode herunterladen (ebenfalls signiert), die Änderungen zur Vorversion nachvollziehen und selber kompilieren. Das geht bei den ganzen closed source "Alternativen", die hier in den Raum geworfen wurden, nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DJMadMax
  • Artikel
Leserartikel Intel Alder Lake und die E-Cores im Gaming: gelöst? Mitnichten!
3 4 5
Antworten
94
Aufrufe
35.867
DJMadMax
DJMadMax
XMG Support
  • Angepinnt
[Sammelthread] SCHENKER VISION 16 Pro und VISION 16: Die weltweit leichtesten 16-Zoll-Ultrabooks in ihrer Leistungsklasse
6 7 8
Antworten
147
Aufrufe
37.372
crogge
C
David7
Wie effektiv vor Malware schützen?
2
Antworten
20
Aufrufe
10.109
sandreas
S
XMG Support
[Sammelthread] Windows 11 auf XMG- und SCHENKER-Laptops
3 4 5
Antworten
88
Aufrufe
43.420
DonL_
D
Tumbleweed
Leserartikel Programmieren für Anfänger
2 3
Antworten
47
Aufrufe
190.940
Magellan
Magellan
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz