News Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar

[Domi83]

Danke für die Erwähnung... Hier scheint es sich wohl um den Vergleich "Äpfel und Birnen" zu handeln.

Ich für meinen Teil kann sagen, "juckt mich nicht" da die automatische Update Funktion deaktiviert ist. Für Updates gibt es zig direkte Downloads und das war es dann. Aber ich finde das Tool "Burp Suite" ganz nett... wenn ich das richtig gelesen habe, kann ich ja mal die erbauten Webseiten meiner Kollegen überprüfen und testen

Gruß, Domi

 

[Edward Newgate]

@nille02
Ahso, ich dachte es geht nur um den "check" an sich.
Naja, ich lade es auch immer von der Seite selbst runter, aber richtig wird es dadurch nicht ;/

 

[Jokeboy]

Dann wird halt KeePassX genutzt.

 

[ice-breaker]

Aber selbst mit https wäre ein Man in the Middle möglich, wenn kein certificate pinning genutzt wird.

Genau das ist der Punkt! Irgendwer schreit, weil HTTP unsicher ist, aber HTTPS bietet in dem Punkt auch keinerlei Sicherheit. Der Download der Software wird verschlüsselt, aber man kann sich trotzdem nicht sicher sein, mit der richtigen Person zu kommunizieren.

 

[Rollkragen]

Ich nutze seit Jahren Mateso Password Safe kostet zwar etwas Geld jedoch ist der auch relativ sicher.

 

[Spawn182]

CB ist eine Webseite, KeePass ein sicherheitrelevantes Tool. Das ist wohl doch ein Unterschied.

Nein, in erster Linie geht es hier auch nur um eine Webseite. Hier wird etwas aufgebauscht, das schlicht völliger Nonsense ist. Am Ende wird die Datei bei Sourceforge geladen, wer sagt, dass dieser Dienst nicht gehackt wird und dort eine geänderte Binary runter geladen wird.

Immerhin ist es doch ein rein manueller Prozess, es ist ja nicht so, dass KeePass vollautomatisch ein ungeprüftes Update rüberbügelt, das wäre eine Sicherheitslücke.

Und ja, eure Download links kommen auch nicht von einer HTTPS gesicherten Verbindung, woher soll ich wissen, dass das bei CB geladene Keypass dem original entspricht? Oder das eure News echt sind?

Schreibt eure Artikel etwas besser, dann würde hier nicht wieder eine Massenpanik entsteht und die Existenzgrundlage eines Programmierers zerstört werden. Denn das Produkt an sich hat ja keine Fehler.

 

[wannabe_nerd]

Auch wenn ich die Reaktion von dem Entwickler nicht gut finde, ist es schon amüsant zu sehen wie viele Leute sich allein auf HTTPS verlassen. Der Entwickler schreibt ja selbst in seinem Eintrag auf SF, dass man ja auf Nummer sicher gehen kann und die Signatur des Binarys überprüfen kann. Wenn man das nicht macht, ists wurscht ob der Download über HTTP oder HTTPS kam.
Trotzdem finde ich, dass er diese Situation was die Update-Message angeht lösen sollte. Da diese ohnehin nur auf seine Seite verlinkt könnte man sich überlegen ob man nicht direkt einen Auto-Update-Mechanismus implementiert oder die Message ganz raus nimmt!

 

[nille02]

CB ist eine Webseite, KeePass ein sicherheitrelevantes Tool. Das ist wohl doch ein Unterschied.

Beide sind anscheint auf Werbeeinnamen angewiesen. HTTPS bringt keinerlei Sicherheit vor MitM angriffen.

 

[Brötchenesser]

ich würde dem Freak ne Email schreiben das er sich dann sein Programm sonstwo hinstecken kann..und tschüss

 

[nille02]

Da diese ohnehin nur auf seine Seite verlinkt könnte man sich überlegen ob man nicht direkt einen Auto-Update-Mechanismus implementiert oder die Message ganz raus nimmt!

Die Meldung ist gut aber automatisches Update wäre besser aber das würde seine Werbeeinnamen weiter reduzieren. Wer geht noch auf die Website, wenn die Anwendung sich selber aktualisiert.

 

[KillX]

Unter Linux ist doch die Update funktion völlig irrelevant, weil das doch übers repo der distri kommen sollte oder?

 

[nille02]

Unter Linux ist doch die Update funktion völlig irrelevant, weil das doch übers repo der distri kommen sollte oder?

Jup, aber seine Zielgruppe liegt dort auch nicht.

 

[Linus9000]

Separate Subdomain für den Updatecheck und den Download mit Lets Encrypt und das Problem wäre umgangen ohne auf Werbeeinnahmen zu verzichten. Unschön dass er das nicht umsetzen will, aber bei einem kostenlosen Produkt seine Sache

Aus Interesse: Welche Passwortmanager mit Synchronisation über $CLOUDPROVIDER oder self-hosted (KeeAnywhere etc), am liebsten SFTP, Clients für Win/Linux/OSX/iOS/Android, Unterstützung für den Browser (KeePassHTTP/chromeIPass), SSH-Agent (KeeAgent) und, ganz wichtig, portabler Installation ohne Adminrechte(!) gibt es denn sonst noch?

 

[nille02]

Separate Subdomain für den Updatecheck und den Download mit Lets Encrypt und das Problem wäre umgangen ohne auf Werbeeinnahmen zu verzichten. Unschön dass er das nicht umsetzen will, aber bei einem kostenlosen Produkt seine Sache

Man in the Middle geht auch mit HTTPS. Das aufgebauschte Problem hier existiert nicht bzw betrifft alle.

 

[mapel]

"Sicherheitslücke" Benutzer. Ist ja wirklich nichts neues und gegen diese kann auch die beste Software nichts machen.

Ich nutze seit Jahren Mateso Password Safe kostet zwar etwas Geld jedoch ist der auch relativ sicher.

Kannst du dir da sicher sein, bei Closed Source und ohne Code Reviews?

 

[Uridium]

Keefox (das wahrscheinlich prominenteste Gegenstück zu KeePass im Browser) ist nicht besser. Deren Datensammelwut kann nicht abgestellt, lediglich reduziert werden. Die entsprechenden opt-out Möglichkeiten im Frontend sind irreführend. Es geht nur per Sourcecode. Streitet der Coder auch nicht ab, sieht es aber als "notwendiges Übel". Er kann sich diese Großspurigkeit offensichtlich erlauben. Wer den Quellcode nicht selbst ändern kann, ist dem ausgeliefert.

https://github.com/luckyrat/KeeFox/wiki/en-|-Metrics-collection

 

[nille02]

Uridium, diese Art der Datenerhebung hat aber nichts mit Datensammelwut oder Werbung zu tun. Das sind einfach Daten die für Entwickler interessant sind um die Anwendung zu verbessern.

 

[Linus9000]

Dass MitM auch mit HTTPS funktioniert ist mir bewusst, ein gefälschtes beglaubigtes SSL-Zertifikat zu bekommen ist aber schwieriger als gar keines zu brauchen. Der Punkt ist, dass der hier kritisierte Punkt mit wenig Aufwand und kaum Einschränkungen, insbesondere nicht solchen im Bereich der Finanzierung durch Werbung, entschärft werden könnte. Mir ist diese "Lücke" schlicht nicht wichtig genug um KeePass zu verlassen, solange ich keine mindestens gleichwertige Alternative habe.

 

[Homofürst]

Als Linux Benutzer ist mir das egal.

Aber letztendlich gehört schon ne Portion Userdummheit dazu, damit diese "Lücke" wirklich ausgenutzt werden kann. Immerhin kann man eine Phishingseite mit einem Blick in die Adresszeile erkennen. Ist ja wie bei Spam-Mails.

 

[ichmich2000]

Soso, https bringt also ultimative Sicherheit.
Schonmal nachgeschaut, wer für ein aktuelles Windows, Firefox, Chrome etc. so alles gültige Zertifikate ausstellen kann? Die Liste ist lang.

Und dann kommt noch so etwas hier dazu:
http://www.pcworld.com/article/2999...ificates-following-botched-investigation.html
http://securityaffairs.co/wordpress/47822/breaking-news/blue-coat-surveillance-certificates.html
Ups. Aber alles nur für "testing".

Ja, https ist immer schöner als http, aber absolute Sicherheit bringt es auch nicht. Und da Keepass nichts automatisch herunterlädt und installiert, braucht man sich wirklich nicht künstlich aufregen.

Ganz im Gegenteil: Hat man sich einmal den Schlüssel des Entwicklers heruntergeladen (zugegeben unsicher), dann kann man danach jedes einzelne Release mit openpgp prüfen, ganz egal, aus welcher Quelle es kommt:
http://keepass.info/integrity_sig.html

Das ist vorbildlich.

Und wer möchte, kann sich ja den sourcecode herunterladen (ebenfalls signiert), die Änderungen zur Vorversion nachvollziehen und selber kompilieren. Das geht bei den ganzen closed source "Alternativen", die hier in den Raum geworfen wurden, nicht.