News

Die automatische Update-Benachrichtigung des bekannten Open-Source-Passwortmanagers „KeePass 2“ nutzt eine normale, ungesicherte Verbindung und lässt sich durch Dritte manipulieren. Eine Umstellung auf HTTPS lehnt der Entwickler derzeit leider ab.

Die automatische Update-Benachrichtigung des bekannten Open-Source-Passwortmanagers „KeePass 2“ nutzt eine normale, ungesicherte Verbindung und lässt sich durch Dritte manipulieren. Eine Umstellung auf HTTPS lehnt der Entwickler derzeit leider ab.

Betroffen ist aber nur die offizielle Windows-Variante, nicht die inoffiziellen Portierungen wie die Mac-OS/Linux-Variante KeePassX oder die Android-App KeePassDroid.

KeePass-Schöpfer Reichl empfiehlt in dem Beitrag, bei JEDEM Update die digitale Signatur der Software persönlich zu überprüfen. Dazu öffnet man den Reiter "Digitale Signaturen" Datei-Eigenschaften über das Kontextmenü des Explorers. Sowohl das Programm selbst als auch der Installer seien entsprechend signiert. Angaben zu den korrekten Zertifikaten macht der Entwickler nicht. Ausserdem ist das Handling dieser Prüfung für einen normalen Benutzer eigentlich nicht zumutbar.

Derzeit ist ratsam, die Updates stets direkt von Sourceforge zu laden und den Update-Hinweisen der Anwendung nicht blind zu folgen. Noch besser: Schalten Sie den automatischen Check auf Updates ganz ab.