KeePass dispuut
Uitzending do 18:00 ** February 2nd, 2023 by wim.webgang **
KeePass dispuut
(zie i-nieuws hieronder)
https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?limit=25#913a
- –
KeePass op SourceForge
https://sourceforge.net/projects/keepass/
Op het discussieforum op de sourceforge site van KeePass vroegen sommige gebruikers daarom aan het KeePass team om een kleine aanpassing.
- bv een “vraag om bevestiging” in te bouwen als zo’n soort aktie gestart wordt, zodat de gebruiker dat kan tegenhouden.
(goed idee behalve als je dat zelf zo ingesteld hebt om backups te maken).
- Een andere vraag was om een versie van het programma te maken waar die export niet in aanwezig is, zodat ze zeker niet kan gebeuren.
Of, wat mij persoonlijk aangeraden lijkt: bewaar de instellingen niet in een open en bloot leesbaar xml bestand, maar ook in een versleuteld bestand.
Het KeePass team zegt dat dit helemaal geen zogenaamd nieuw ontdekte beveiligingszwakte van het programma is. Ze hebben zelf aanwijzigingen gegeven hoe daar mee om te gaan:
You have already been told how to enable an export confirmation, or block exporting entirely. See
https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?limit=25#1914
https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?limit=25#42af
You have also been told how to enforce these settings. See
https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?limit=25#9a36
CVE-2023-24055 is momenteel nog in onderzoek, en staat gelabeleld als “disputed”. Er staat helaas niet bij voor welk besturingssysteem het geldt, maar de beschrijving lijkt over een Windows systeem te gaan.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055
De Nederlandse consumentenbond gebruikt ook keepass:
https://www.consumentenbond.nl/internet-privacy/keepass-wachtwoordkluis