¿Qué tan confiables son los complementos de KeePass?

9

KeePass es genial, me encanta, pero después de varios años de uso, a veces deseo instalar un complemento, pero no porque tengo miedo de lo que realmente puede hacer este complemento sin mi consentimiento.

La documentación sobre el desarrollo de complementos es realmente breve. Descargué y compilé

Como se dice en la documentación , el formato PLGX es un formato "aún no compilado"

  

En lugar de compilar su complemento en un ensamblaje de DLL, los archivos de código fuente del complemento se pueden empaquetar en un archivo PLGX y KeePass compilará el complemento al cargarlo

Por lo tanto, debería ser posible leer estos archivos. ¿Como hacer esto?

Tomemos el ejemplo de Favicon downloader o incluso Contador de contraseñas . Estos 2 complementos muestran claramente que ambos tienen acceso a Internet y mis contraseñas. Entonces, ¿cómo puedo estar seguro de que no los roban? Quiero decir, solo podrían enviar toda mi información a un servidor y nunca lo sabría.

Entonces si no hay forma de que lea los archivos PLGX, ¿la única forma de garantizar una seguridad óptima es desarrollar mis propios complementos por mi cuenta?

    
pregunta Jérôme MEVEL 24.05.2017 - 03:53
fuente

2 respuestas

5

En resumen, la única forma de garantizar una seguridad óptima con los complementos de KeePass es revisar sus códigos usted mismo.

El único problema es que algunos de ellos son de código abierto, otros no. Además, en el caso de un complemento de código abierto, no puede estar seguro de que el archivo PLGX que descargó corresponda realmente al código fuente público disponible. Por lo tanto, usted mismo genera el archivo PLGX o revisa el código del archivo PLGX directamente.

Elegí la segunda solución, ya que también permite revisar el código de complementos de código no abierto.

He modificado un poco el código de KeePass 2.35 para lograrlo. El proyecto con instrucciones de instalación está disponible en enlace

El código es bastante simple y reside solo en el archivo KeePass/Plugins/PlgxCsprojLoader.cs .

No te proporcionaré el archivo keepass.exe directamente porque no tiene sentido, debes compilarlo por ti mismo. De lo contrario, ¿cómo sabría lo que realmente está haciendo este archivo .exe ...?

¡Feliz revisión de código a todos!

    
respondido por el Jérôme MEVEL 25.05.2017 - 09:15
fuente
5

Un complemento de KeePass puede hacer casi cualquier cosa que KeePass puede hacer, es efectivamente solo una biblioteca .NET. AFAIK, no hay ningún sandbox para un complemento de KeePass. Por lo tanto, a menos que descompile y realice una revisión del código, debe confiar en el (los) autor (es) del complemento, la persona que compiló el complemento y que el complemento no ha sido manipulado durante el tránsito. Un complemento es bastante capaz de enviar todas sus listas de contraseñas a Internet o formatear su disco duro si ejecuta KeePass como usuario con privilegios para hacerlo.

Además, cuando estés revisando la fuente de un complemento de KeePass, no olvides revisar también el código --plgx-build-pre: y --plgx-build-post: . Cualquier comando de shell se puede ejecutar durante la compilación / instalación del complemento con esas opciones.

    
respondido por el Lie Ryan 24.05.2017 - 19:35
fuente

Lea otras preguntas en las etiquetas