Vlákno názorů k článku
KeePass 2.X Master Password Dumper umožňuje získat heslo do KeePassu od Uncaught ReferenceError: - je to možná 5 let, co jsme tohle...

je to možná 5 let, co jsme tohle přímo hlásili týmu KeePass, heslo v paměti je nešifrované a objevuje se v core dumpech, také jsme hlásili, že je možné změnit xml konfiguraci a nechat si exportovat všechna hesla.

A teď po několika letech vidím, že vzniklo nové CVE. Skoro to vypadá, že Keepass bezpečnost bere trochu obloukem a je mu potna.

Mimochodem držení nešifrovaného hesla v nechráněnné paměti není problém pouze KeePassu.

A neopravili to tehdy náhodou? Co čtu to forum to vypadá, že KeePass v tomto patřil k těm lepším a proto to snad teď brzo opraví. https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/#65fb/ccca

Na stránkách mají, že pokud si to heslo nezobrazíš kliknutím na tlačítko, nemělo by být v paměti nechráněné.

To s tím XML je taky CVE, myslím, že vzniklo pár měsíců zpět. Ale tam to autor rozporuje, že to není relevantní útok.

Ano, opravili to, resp. heslo z paměti smazali. Teď se ale ukazuje, že ho nesmazali ze všech míst a trpí stejným problémem, se kterým se musely nedávno vypořádat i prohlížeče. Standardní input text formulářový prvek má dlouhou paměť a není určen k zadávání hesla.

Bohužel nemají veřejně kódy nevydaných verzí, takže těžko zjistíme jak to opravili a co vlastně bylo špatně. V předchozím případě to spojili s refaktorem, takže bylo velice těžké zvalidovat, že to opravili správně.

S tím xml to je vtipné, to odmítají opakovaně, přitom kdokoliv má přístup ke konfiguračním souborům (na windows i linuxu jakýkoliv proces, který běží pod uživatelem) může donutit keepass udělat kompletní export dat. Ostatní správci to řeší tak, že při exportu vyžadují znovu master heslo a nedovolí udělat export na pozadí bez povšimnutí, keepass ano.

Mně se přístup a chování lidí kolem keepass nelíbí (osobní názor), u SW, u kterého každá slabina znamená pro uživatele strašně moc by měli daleko odpovědněji k tomu přistupovat.

Díky za objasnění! Dobré vědět, že tehdy aspoň opravili tu konkrétní chybu, i když by asi stálo za to přistupovat k tomu odpovědněji...