La discusión sobre la vulnerabilidad CVE-2016-5119 es muy provechosa y resultó beneficiosa para mejorar el producto.
El desarrollador argumentó que los "costes indirectos" eran demasiado altos como para publicar la actualización, la cual tendría que cifrar el tráfico web. El impacto de esta decisión podría ser bastante grave, ya que se abre la posibilidad de que un atacante secuestre el proceso de actualización y envíe malware al ordenador de la víctima.

Pese a todo, resulta muy contradictorio ver la seguridad en segundo plano en un desarrollo destinado a crear una aplicación centrada en la seguridad.
Es cierto que muchas aplicaciones no tienen muchas formas de generar ingresos, viéndose forzadas muchas veces hasta a incluir publicidad. Sin embargo, esta política de anteponer los ingresos a la seguridad, más cuando se sabe que los usuarios están expuestos a una vulnerabilidad importante, podría terminar dañando mucho la reputación de KeePass, pudiendo incluso perder una gran cantidad de usuarios.
En estos días Reichl lanzará la nueva versión 2.34 con correcciones que mitigan el ataque y ahora la información sobre la versión será descargada desde servidores HTTPS.
Fuente: Muy Seguridad | Keepass | Engadget
¿Y qué alternativas hay a keepass?
ResponderBorrar