KeePass: Potentielle Sicherheitslücke bleibt vorerst offen

2. Juni 2016 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Artikel_KeePassKeePass hat eine Sicherheitslücke, die den Passwortmanager unter Umständen anfällig für Man-in-the-middle-Angriffe macht. Unter Umständen deshalb, weil verschiedene Bedingungen erfüllt sein müssen. So muss der Nutzer den automatischen Updatecheck zulassen und dem Angreifer muss es möglich sein, durch einen Angriff auf das Netz oder den Rechner des Nutzers den Updatecheck auf eine manipulierte Seite zu locken. Dies liegt daran, dass die Verbindungen von KeePass zum Server nicht verschlüsselt sind. Bereits im Februar wurde diese Lücke an den Entwickler gemeldet, dieser hat sie bis heute aber nicht behoben. Die indirekten Kosten der HTTPS-Umstellung – wie verlorene Werbeeinnahmen – machen das Ganze zu einer nicht praktikablen Lösung. Die technischen Details dazu findet man hier.

Mittlerweile ist das Thema auch schon im Projektforum bei Sourceforge diskutiert worden. Hier spricht man das Thema wie folgt an und gelobt aber auch baldige Besserung: „Unfortunately, for various reasons using HTTPS currently is not possible, but I’m following this and will of course switch to HTTPS when it becomes possible.“ Abschließend aber auch der Hinweis, dass man bei solcher Software vielleicht wirklich schauen muss, aus welcher Quelle sie kommt. Die Binaries sind digital signiert. Und wer weiss – vielleicht spenden die eifrigen Nutzer von KeePass dem Dominik Reichl – das ist der Entwickler – ein paar Euro über die Projekt-Homepage. Denn – und da ziehe ich meinen Hut – er leistet mit seinem Programm seit Jahren Großes.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 23158 Artikel geschrieben.