Faille dans Keepass
3 messages
• Page 1 sur 1
Faille dans KeepassUn article de Korben parle d'une faille qui a été découverte dans Keepass il y a quelques jours :
http://korben.info/utilisateurs-de-keepass-pensez-a-faire-mise-a-jour.html
Il faut faire une mise à jour pour régler le problème. W7 Edition Intégrale - ESET Smart Security - DirectX 11
Re: Faille dans KeepassOui il faut dans tous les cas.
Mais cela n’impacte que le canal de mise à jour interne de KeePass, dans la mesure où la mise à jour doit se faire via la liberkey et non par KeePass directement (on est pas censé mettre à jour via les applis mais uniquement via la liberkey) c'est normalement moins problématique. « Pour réussir, il ne suffit pas de prévoir. Il faut aussi savoir improviser. » I. Asimov
Le problème avec les gens qui réclament la transparence, c'est que ce sont souvent eux qui se trouvent derrière le miroir sans tain ...
Re: Faille dans KeepassLes notifications de mises à jour sont normalement désactivées. Mais les utilisateurs peuvent quand même les activer et dans ce cas-là, ils sortent volontairement du champ de contrôle des applications que nous intégrons dans la Liberkey.
Pour faire court, de mon point de vue nous n'avons pas à être plus réactif que ça sur le sujet. C'est le processus de notification de mise à jour lui-même qui n'est pas sécurisé (via un appel HTTP au lieu d'un appel HTTPS), pas la mise à jour elle-même qui reste sous le contrôle de l'utilisateur (et manuelle !) et où l'on peux vérifier les signatures du site où télécharger l'exe. La notification est sensible à une attaque de l'homme du milieu, déjà faudrait que l'utilisateur sont "spécifiquement" ciblé et ce n'est pas en allant sur un site en particulier qu'on est concerné. Si ça concerne 0,0000001% des utilisateurs Liberkey, c'est déjà une extrapolation ! http://keepass.info/help/kb/sec_issues.html#updsig
"Si boire des coups, aller au concert ou au match, ça devient un combat
Alors tremblez, terroristes ! Parce qu'on est surentraînés !" @glecalot
3 messages
• Page 1 sur 1
Retourner vers Discussions générales Qui est en ligneUtilisateurs parcourant ce forum: Aucun utilisateur enregistré et 355 invités |