KeePass: Potentielle Sicherheitslücke bleibt vorerst offen
von caschy | 18 Kommentare
KeePass hat eine Sicherheitslücke, die den Passwortmanager unter Umständen anfällig für Man-in-the-middle-Angriffe macht. Unter Umständen deshalb, weil verschiedene Bedingungen erfüllt sein müssen. So muss der Nutzer den automatischen Updatecheck zulassen und dem Angreifer muss es möglich sein, durch einen Angriff auf das Netz oder den Rechner des Nutzers den Updatecheck auf eine manipulierte Seite zu locken. Dies liegt daran, dass die Verbindungen von KeePass zum Server nicht verschlüsselt sind. Bereits im Februar wurde diese Lücke an den Entwickler gemeldet, dieser hat sie bis heute aber nicht behoben. Die indirekten Kosten der HTTPS-Umstellung – wie verlorene Werbeeinnahmen – machen das Ganze zu einer nicht praktikablen Lösung. Die technischen Details dazu findet man hier.
Mittlerweile ist das Thema auch schon im Projektforum bei Sourceforge diskutiert worden. Hier spricht man das Thema wie folgt an und gelobt aber auch baldige Besserung: „Unfortunately, for various reasons using HTTPS currently is not possible, but I’m following this and will of course switch to HTTPS when it becomes possible.“ Abschließend aber auch der Hinweis, dass man bei solcher Software vielleicht wirklich schauen muss, aus welcher Quelle sie kommt. Die Binaries sind digital signiert. Und wer weiss – vielleicht spenden die eifrigen Nutzer von KeePass dem Dominik Reichl – das ist der Entwickler – ein paar Euro über die Projekt-Homepage. Denn – und da ziehe ich meinen Hut – er leistet mit seinem Programm seit Jahren Großes.
Wird geladen ...
Wüsste gern, wie sein Hosting-Vertrag aussieht. Bei meinem kostet mich das Zertifikat pro Domain 12 Euro im Jahr und immer mehr Hoster gehen sogar dazu über, mit One-Click die kostenlosen Let’s-Encrypt-Zertifikate anzubieten.
@NetzBlogR Korrekt, wahrscheinlich ein „uralter“ oder hat neben der Entwiklung keine Zeit für aderes mehr.
Das Problem sind nicht die Kosten für den HTTPS-Server oder das Zertifikat sondern die fehlenden Einnahmen durch Werbung, die auf einer HTTPS-Seite nicht geschaltet werden kann. Siehe dazu auch den Link zur Diskussion.
Soviel zu den Bashern von 1Password, die lieber nichts für eine entsprechende Software bezahlen wollen. So ein Entwickler muss halt auch was verdienen, wenn nicht über die Werbung, dann über Gebühren.
Was ist mit LetsEncrypt?
@Pascal: Das Problem ist nicht HTTPS selbst, sondern dass bei HTTPS keine Werbung geschaltet werden kann, da Vermarkter meistens nicht per HTTPS ausliefern. Dann fehlen natürlich Einnahmen durch Werbung.
Ich bin als Software-Entwickler gerne bereit, andere Entwickler zu unterstützen und ein paar Euro springen zu lassen.
Warum muss auf der Download-Seite oder auf dem Link zum automatischen Programm-Update Werbung geschaltet sein? Wohlgemerkt das ist oder muss nicht die Homepage sein. Für mich klingt das nach einer faulen Ausrede. Vielleicht haben die Entwickler ja auch einfach keine Lust oder keine Ahnung. Wobei ich nicht weiß was schlimmer wäre.
Gleich mal gespendet 😉
Ich geh‘ mal davon aus, dass das nich für KeePassX gilt?
@q____q: KeepassX wird doch im Allgemeinen mittels Repo aktualisiert. Und unter Windows scheint man ja selber auf die Webseite gehen zu müssen.
@NetzBlogR: 12€ Jahr für ein vollwertiges und von allen Browsern akzeptiertes Zertifikat? Welcher Provider?
Entweder der Entwickler hat keine Ahnung von HTTP/HTTPS, davon wie Webserver funktionieren oder es geht wirklich nur um Geld, das hier über die Security gestellt wird. Letzteres wäre für mich ein klares Todesurteil für jedes Security-Tool.
Es gibt genug Möglichkeiten das Problem mit HTTPS zu lösen, wenn man will. Man kann die Update-Seite auf eine eigene Subdomain legen, man kann aber auch die ganze Seite per HTTPS umstellen und wenn irgendwelche Werbe-Anbieter immer noch kein HTTPS können (was erbärmlich genug ist), dann kann ich diese Anfragen auch durch einen ReverseProxy leiten, der vorne zum Browser HTTPS spricht und nach hinten ins „Backend“ nur HTTP spricht. Das ist ein ganz typischer Applikationsaufbau, denn Applikationsserver sprechen selten HTTP und schon gar nicht wenn mehrere Systeme sich die Last teilen. Da terminiert in der Regel das HTTPS an einem ReverseProxy und/oder Loadbalancer und der HTTP-Stream mit Werbung könnte auch dort eingebunden werden.
@FriedeFreudeEierkuchen:
12€ für ein Zertifikat im Jahr finde ich auch etwas günstig, aber warum nicht.
Inzwischen kann jeder Let’s-Encrypt-Zertifikate kostenlos bekommen und das funktioniert einfach und automatisch, wenn es mal richtig eingerichtet ist.
Habe die Funktion längst deaktiviert und lade Updates direkt von Seite. Wieso er allerdings HTTPS jedoch nicht nur für die Download-Seite anbietet, verstehe ich allerdings auch nicht. Muss ja nicht gleich die ganze Domain sein.
Vielleicht habe ich etwas übersehen, aber ich sehe auf den Seiten nur Google Ads und in der Datenschutzerklärung ist auch nichts anderes erwähnt. Und Google Ads lassen sich schon geraume Zeit per https ausliefern. Ich habe leichte Schwierigkeiten auch nur auf einen der „various reasons“ zu kommen….
Es wird also der Link vom Update-Pop-Up umgelenkt? Und wenn man den nicht benutzt, ist man theoretisch auf der sicheren Seite?
Dann danke für den Hinweis. Werde das wohl dann weiterhin manuell machen. Das aktuellste Update habe ich sowieso noch nicht gemacht.
@FriedeFreudeEierkuchen: Ich hoste bei UD Media (udmedia.de) und habe dort ganz einfache „Comodo Positive“-Zertifikate für 12,- EUR im Jahr gebucht. Ich kenne mich jetzt nicht sooo besonders aus und kann auch nicht sagen, warum es Zertifikate gibt, die das Zehnfache kosten – aber SSL-Testseiten wie ssllabs.com/ssltest bescheinigen meinen Seiten, dass wohl alles so ziemlich im grünen Bereich ist. 🙂
Ach und wegen Werbung: Google AdSense funktioniert auf HTTPS-Seiten wunderbar. Ich hatte bei mir lediglich Probleme mit den automatischen Amazon-Widgets, die plötzlich nicht mehr funktionieren wollten.
Zitat: „Mittlerweile ist das Thema auch schon im Projektforum bei Sourceforge diskutiert worden. Hier spricht man das Thema wie folgt an und gelobt aber auch baldige Besserung: „Unfortunately, for various reasons using HTTPS currently is not possible, but I’m following this and will of course switch to HTTPS when it becomes possible.“
Immer wieder treffe ich beim Lesen dieses Blogs auf Sätze, die komplett in englischer Sprache geschrieben sind. Was soll das? Wollt Ihr Euch profilieren, dass Ihr so schön der englischen Sprache mächtig seid. Dann seid doch bitte auch so freundlich und übersetzt den Kram, ich möchte nämlich auch verstehen, was ich hier lese.