Důvěryhodnost programu KeePass

[clovek123]

Ahoj, jako laik mam dotaz na keepass, pokud ho stahnu odtud https://keepass.info/download.html

tak ten exe soubor co mi to naistaluje to je primo open source a jde to nejak zauditovat a da se tomu verit, nebo to je jen u nejake linuxove verze ?

existuje prosim nejaky nastroj pomoci ktereho lze zabranit programum na windows aby komunikovaly se svetem? (vytahovat kabel anebo vypinat sit je neprakticke)
diky moc.

[Reklama]

[cezz]

Mozes si porovnat checksum tu: https://keepass.info/integrity.html

[NoxNox]

Ve Windows Firewallu se da zabranit *.exe souboru, aby mel pristup na internet. Pripadne to lze udelat jednoduseji programem OneClickFirewall.

[Mintaka]

Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.

[clovek123]

Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.

Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.

[Reklama]

[okalousek]

Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.

Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.

Nepřeháníte to trochu?

[Martin Dráb]

Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.

Pokud se nejedná o tzv. reproducible build, tak vám stejný hash s největší pravděpodobností nevyjde kvůli použité verzi a nastavení překladače.

Hash (či hlavně digitální podpis) se u binárek uvádí zejména pro ověření, že soubor nebyl neautorizovaně změněn, ať už na serveru či někde cestou k vám.

[sysel73]

 

A co to nainstalovat na nějaké offline zařízení?
Na nějaký starý vyřazený comp nebo noťas, který bude sloužit jen pro tento účel.

[Filip Jirsák]

A co to nainstalovat na nějaké offline zařízení?
Na nějaký starý vyřazený comp nebo noťas, který bude sloužit jen pro tento účel.

Jako že když se chcete přihlásit na nějakou stránku, pustíte vedle starý počítač, počkáte, než naběhne, vyhledáte heslo a pak konečně slavnostně dvacetiznakové heslo přepíšete do phishingového webu, protože jste si nevšiml, že v URL je jeden znak jinak?

Správce hesel má dvě stejně důležité funkce – umožňuje používat unikátní silná hesla a vyplňuje hesla jenom tam, kam ta hesla patří. Aby mohl plnit tu druhou funkci, musí být integrován s webovým prohlížečem (protože to je aplikace, kam se hesla zadávají nejčastěji a kde nejvíc hrozí phishing).

[kotelgg]

O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel). 

[okalousek]

O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel).

Vlastně... teď mě napadlo. Když autor chce prověřovat správce hesel kvůli transparentnosti, tak úplně nevím proč chce tazatel něco takového používat na tak [airquotes] důvěryhondém [/airquotes] jako je Windows.

[Martin Dráb]

O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel).

Tak, od toho je právě dobré tu binárku digitálně podepsat. Ať už třeba GPG klíčem autora (jehož veřejnou část lze dohledat), nebo skrz certifikát prokazatelně autorovi vydaný. Pokud není potřeba EV (což tady není), ty ceny nejsou zas tak hrozné, zejména při využití tarifu Open Source Code Signing (např. Certum CA).