Jobb kikapcsolni a KeePass frissítéskeresőjét

|

Támadók hamis letöltési oldalakra irányíthatják a felhasználókat.

Hirdetés

A klasszikus jelszókezelő alkalmazásokat preferálók gyakran ajánlják a jól bevált KeePass használatát, az ingyenes alkalmazás remekül megfelel a céljára. Sajnos most kiderült, hogy a beépített frissítéskeresőjén keresztül közbeékelődéses módszerrel támadhatóak a felhasználói.


Hirdetés
Hirdetés


A problémát az okozza, hogy a frissítéskereső titkosítatlan HTTP adatkapcsolaton keresztül kommunikál a KeePass internetes szerverével. A művelet során nem csak a verziószámokat hasonlítja össze a program, de az újabb verzió letöltéséhez használatos webhely linkjét is a szerverről kéri le. Ez lehetővé teszi a szerver és kliens közé beékelődött támadó számára, hogy kártékony webhelyekre irányítsa a felhasználókat.



A KeePass fejlesztője meglepő módon nem kívánja megoldani a problémát. Állítása szerint a HTTPS-re való átállás "jelenleg nem lehetséges", de idővel azért szeretné megoldani. A spekulációk szerint az jelenti a fejlesztő legnagyobb problémáját, hogy a HTTPS-re való átállás után nem működnének a KeePass weblapjaira beágyazott reklámok.

Hirdetés


Ettől függetlenül érthetetlen az álláspont, hiszen nem lenne muszáj az egész webhelyet átállítani a HTTPS használatára. Az alapvető probléma már azzal is megoldódna, ha a frissítéskezelő titkosított kapcsolaton kommunikálna a szerverrel, hiszen így nem lehetne végrehajtani a linkcserés, közbeékelődéses támadást.



Ezt az ötletet a KeePass készítője haszontalannak titulálta, állítása szerint csak akkor van értelme a HTTPS-nek, ha a komplett webhely (a frissítéskereső által használt linkkel együtt)  átáll a titkosított kapcsolat használatára. Ennek okát szintén részletezte, de feltehetően arra gondolt, hogy a névfeloldáskor kivitelezhető közbeékelődéses támadás lehetőségét nem hárítaná el a megoldás, azaz a támadó képes lehetne hamis információt visszaadni a keepass.info webhelyhez tartozó statikus IP-cím kliensoldali lekérdezésekor. Ez a lehetőség viszont akkor is fennáll, ha a komplett webhely átáll a HTTPS-re.

Hirdetés


A legjobb megoldás tényleg a HTTPS univerzális használata lenne, de a jelenlegi mindent vagy semmit álláspont nem szolgálja a felhasználók érdekeit, és nem tesz jót a fejlesztő megítélésének sem. A KeePass felhasználóinak azt javasoljuk, hogy kapcsolják ki a beépített frissítéskezelőt, helyette manuálisan ellenőrizzék az új verziók elérhetővé válását.


(Forrás: Ghacks, KeePass)

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.