Quanto sono affidabili i plugin KeePass?

9

KeePass è fantastico, lo adoro ma dopo diversi anni di utilizzo, a volte desidero installare un plug-in, ma non lo faccio perché ho paura di ciò che questo plugin può davvero fare senza il mio consenso.

La documentazione sullo sviluppo dei plug-in è davvero breve. Ho scaricato e compilato codice sorgente ma non capisco dov'è l'API elenco di funzioni a cui i plugin hanno accesso.

Come detto nella documentazione , il formato PLGX è un formato "non ancora compilato"

Instead of compiling your plugin to a DLL assembly, the plugin source code files can be packed into a PLGX file and KeePass will compile the plugin itself when loading it

Quindi dovrebbe essere possibile leggere questi file. Come fare questo?

Prendiamo l'esempio di downloader Favicon o anche Contatore password . Questi 2 plugin mostrano chiaramente che entrambi hanno accesso a internet e alle mie password. Quindi, come posso essere sicuro che non li rubano? Voglio dire che potrebbero semplicemente inviare tutte le mie informazioni a un server e non lo saprei mai.

Quindi se non c'è modo per me di leggere i file PLGX, l'unico modo per garantire una sicurezza ottimale è sviluppare i miei plugin da solo?

    
posta Jérôme MEVEL 24.05.2017 - 03:53
fonte

2 risposte

5

Quindi, in breve, l'unico modo per garantire una sicurezza ottimale con i plugin KeePass è quello di rivedere i loro codici da soli.

L'unico problema è che alcuni di loro sono open source, altri no. Inoltre, nel caso di un plugin open source, non puoi essere sicuro che il file PLGX che hai scaricato corrisponda realmente al codice sorgente pubblico disponibile. Pertanto, si genera il file PLGX da solo o si esamina direttamente il codice del file PLGX.

Ho scelto la seconda soluzione in quanto consente anche di rivedere il codice dei plugin non open source.

Ho modificato un po 'il codice di KeePass 2.35 per raggiungere questo obiettivo. Il progetto con istruzioni di installazione è disponibile all'indirizzo link

Il codice è abbastanza semplice e risiede solo nel file KeePass/Plugins/PlgxCsprojLoader.cs .

Non ti fornirò il file keepass.exe direttamente perché non ha senso, devi compilarlo da solo. Altrimenti come sapresti cosa sta facendo davvero questo file .exe?

Buona revisione del codice a tutti!

    
risposta data 25.05.2017 - 09:15
fonte
5

Un plugin KeePass può fare praticamente tutto quello che KeePass può fare, in realtà è solo una libreria .NET. AFAIK, non esiste alcun sandboxing per un plugin KeePass. Quindi, a meno che non decompilate e eseguite una revisione del codice, dovete fidarvi degli autori del plugin, della persona che ha compilato il plugin e del fatto che il plugin non sia stato manomesso durante il transito. Un plugin è praticamente in grado di inviare i tuoi elenchi di password completi a Internet o formattare il tuo disco rigido se esegui KeePass come utente con privilegi per farlo.

Inoltre, quando esamini l'origine di un plug-in di KeePass, non dimenticare di esaminare anche il --plgx-build-pre: e il --plgx-build-post: code. Qualsiasi comando della shell può essere eseguito durante la compilazione / installazione del plug-in con tali opzioni.

    
risposta data 24.05.2017 - 19:35
fonte

Leggi altre domande sui tag