Dart Raiden
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Коллеги, есть мысли по этому поводу? | Если не читать документацию, то будет много сюрпризов. Я не понимаю вой, который сейчас поднялся в интернетах на некоторых (иных) ресурсах. Любую фичу можно отключить. Но и включить обратно, если у атакующего есть доступ к конфигу, который обычно хранится в %AppData% (то есть, если пользователь из-под своей учётки запустит без повышения прав какое-то вирьё, то это вирьё спокойно поменяет конфиг, ведь у пользователя есть доступ к своему %AppData%) . Поэтому, очень давно существует возможность создать усиленный конфиг в дополнение к обычному. Достаточно прописать отключение фичи и положить этот усиленный конфиг рядом с бинарником KeePass в таком месте, куда не-админ писать не может. Такое место называется %Program Files%. С настройками по умолчанию для записи туда нужно повышение прав. Всё, после этого фичу невозможно будет включить, не отредактировав усиленный конфиг. Если же у атакующего есть права админа, ну, извините, это уже и его компьютер. Экспорт паролей далеко не самое страшное, что произойдёт. С рутом в Linux тоже можно натворить чертовски много всего, на то он и суперпользователь. Предполагаю, что воют те, у кого система сознательно изуродована таким образом, что они работают с отключенным UAC и с отключенным одобрением администратора. Тогда да, любой процесс с любыми правами может писнуть в Program Files спокойно как в "божественной XP". Но если человек сам вырвал с корнем ремни безопасности, потому что с ними "ощущения не те", то это его проблемы. Вариант, как бы разработчик мог решить проблему: - по умолчанию при установке KeePass дропать в его каталог конфиг, запрещающий тихий экспорт - если пользователю нужен тихий экспорт, пользователь удаляет этот конфиг Таким образом, если пользователь обезопасил каталог установки (установил в Program Files или как-то вручную права назначил, чтобы для записи туда нужны были дополнительные привилегии), то пользователь по умолчанию в безопасности. Ну а если не обезопасил, то атакующий ему может тупо KeePass.exe подменить, пофиг на конфиги. | Всего записей: 5648 | Зарегистр. 20-10-2006 | Отправлено: 23:32 03-02-2023 | Исправлено: Dart Raiden, 02:51 04-02-2023 |
|