Odpověď na názor
Odpovídáte na názor k článku Postřehy z bezpečnosti: nedobrovolný open-source nebo zaplacení výkupného. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelCtrl+P: Není potřeba měnit původní binárku, je možné nahrát jinou aplikaci do umístění, kam má uživatel právo zápisu. A přesměrovat na ni odkazy v menu Start, na ploše apod. Jediný problém by mohl nastat, pokud by tyto odkazy byly ve sdílené složce (All Users). Nevím, kam to standardně instaluje KeePassXC a jak se chovají Windows, pokud mají stejně pojmenovnaý soubor v obou umístěních (All Users i složka uživatele).
No a pokud jde o binárku nebo skript – binárka je lepší, protože bude méně nápadná. Ale varianta, že se zobrazí okno imitující přihlašovací okno KeePassXC, pak se zobrazí chybová zpráva, že bylo heslo zadáno špatně, a pak se nastartuje reálný KeePassXC, je možné udělat i pomocí různých skriptovacích jazyků. Je tam větší riziko prozrazení, že si uživatel bude jistý, že heslo zadal správně a nový start aplikace v něm vzbudí podezření – ale většině uživatelů to pravděpodobně divné nepřijde.
A co se týče vytvoření té falešné aplikace – tu samozřejmě nemusí vytvářet přímo útočník, stačí, když ji vytvoří někdo jiný a útočník ji jenom stáhne a použije. Stejně jako útočník nemusí být ten, kdo přišel na tu možnost exportu z KeePassu, ale může to být kdokoli, kdo si na internetu přečte návod, co má změnit. Nebo si rovnou stáhne skript, který změní konfigurační soubor nebo nainstaluje podvrženou aplikaci.
Každopádně pořád bude pro útočníka nejsložitější to, jak získat přístup k zápisu do domovského adresáře uživatele.
