KeePass 2 besitzt eine Sicherheitslücke. Das Faszinierende daran ist die Begründung, mit welcher die Sicherheitslücke absichtlich offen gehalten wird:
The vulnerability will not be fixed. The indirect costs of switching to HTTPS (like lost advertisement revenue) make it a inviable solution.
http://seclists.org/fulldisclosure/2016/Jun/2
Hervorhebung durch mich. Den Entwicklern von KeePass ist Geld wichtiger als die Sicherheit seiner Anwender. Find ich ein starkes Stück.
siehe auch die Demo
Es wird dort von KeePass2 berichtet, aber es betrifft, wenn ich das richtig verstehe, doch sicherlich alle Versionen, da es lediglich um den Update Check und die nicht verschlüsselte Verbindung zu keepass.info geht.
Workaround
Until the version check has been switched to HTTPS update notifications should be taken with a grain of salt. To be on the safe side, new releases should be downloaded only directly from Keepass’s secured Sourceforge page: https://sourceforge.net/projects/keepass/
Quelle
Also immer direkt von https://sourceforge.net/projects/keepass/ herunter laden und manuell ein Update machen.
Da explizit von KeePass 2 die Rede ist, gehe ich mal davon aus, dass es auch nur um KeePass 2 geht, aber ich weiß es nicht mit Sicherheit. Da ich KeePass nicht nutze, sondern Enpass (https://www.enpass.io/), habe ich mich nicht im Detail damit auseinandergesetzt. Für mich hat sich der Hersteller unabhängig von der Antwort darauf in die Reihe der Hersteller eingereiht, denen nicht vertraut werden kann. Diese Begründung ist peinlich für einen Sicherheits-Dienstleister (wozu ich Hersteller von Passwort-Managern genauso zähle wie von "klassischen Sicherheitssoftwares") und die Entscheidung nicht entschuldbar. Egal, wie groß ein Projekt ist, egal ob Closed Source oder Open Source, egal ob kostenpflichtig oder kostenlos: Passwörter betreffen ganz direkt die Sicherheit und damit geht eine Verantwortung einher.
In der neuen Version 2.34 läuft der Update Check nun über HTTPS.
