Názor k článku Postřehy z bezpečnosti: nedobrovolný open-source nebo zaplacení výkupného od Filip Jirsák - Nemusime to nazyvat problemem, muzeme to nazyvat funkci,...

Nemusime to nazyvat problemem, muzeme to nazyvat funkci, a tahle funkce existuje, to doufam nepoprete.
Ne, to nepopírám.

Souhlasite s tvrzenim, ze ta funkce, co ma Keepass (uprava konfiguraku vede k vypisu databaze) se netyka KeePassXC?
Ano, souhlasím.

Udělám malou odbočku – víte o tom, že běžně používané shelly (třeba Bash, Zsh) používají textové konfigurační soubory (ve skutečnosti jsou to skripty v tom shellu, ale ve vaší terminologii je to textový konfigurák), které se spouštějí při spuštění shellu? A že tyto konfigurační soubory umožňují spustit cokoli, co jde spustit ze shellu? Takže tam třeba můžete dát příkaz, který smaže všechny soubory, které uživatel smazat může? Tedy „úprava konfiguráku vede ke smazání všech souborů uživatele“.

Neměl byste to nahlásit jako CVE?

Pro vas mozna neni zkompliovat binarku o mnoho slozitejsi nez upravit textak, ale kdyz ja se podivam kolem sebe, tak vidim 2 lidi co umi zkompliovat binarku, a 20 lidi co to neumi (ale umi upravit textak). Mozna byste mohl taky premyslet o celem svete, ne jenom o tom ve vasi hlave.
O celém světě byste měl začít přemýšlet vy. Útočník nemusí žádnou binárku kompilovat – to udělá jeden člověk, který tomu rozumí, ostatní ji jenom použijí. Tak, jako je to v ostatních případech. Vy jste si myslel, že si útočníci a script-kiddies všechno píšou sami akompilují ze zdrojových kódů?

No a tech 20 lidi si je schopno zajistit pristup k souborum v cizim pocitaci, ale binarku nebudou schopni zkompilovat ani do konce sveho zivota.
Ne, získat právo zápisu do konfiguračních souborů jiného uživatele je řádově složitější, než stáhnout a někam nahrát existující binárku. Dokonce i než podle návodu přeložit existující zdroják a vytvořit tak binárku. Kdyby to tak nebylo, tak se vám po vašich datech neustále prohánějí cizí uživatelé.

A tedy, jelikoz existuji lide, kteri umi podstrcit konfigurak, a neumi podstrcit binarku (a navic zmeny binarky hlida antivir), tedy existuje vice lidi, kteri jsou schopni ziskat hesla z KeePass, nez lidi co jsou schopni ziskat hesla z KeePassXC. A to je ten duvod, proc danou vlastnost KeePass nekteri lide vnimaji jako bezpecnostni problem.
Ano, existují lidé, kteří nechápou počítačovou bezpečnost a snaží se ji řešit způsobem „tady mám řešení a teď zkusme najít tak neschopného útočníka, že ho to zastaví“. Typický je právě ten váš přístup – předpokládají útočníka, který je docela schopný (dokázal získat právo zápisu do dat cizího uživatele), a pak se zřejmě útočník praští do hlavy a nedokáže do systému ani nahrát binárku staženou z internetu.

Analogii o domecku komentovat nebudu, analogie jsou nahouby, jak jste sam mnohokrat napsal.
Nic takového jsem nikdy nenapsal. Analogie jsou na houby, pokud se z ní snažíme odvozovat něco, co přeshuje rámec té analogie. V tomto případě ta analogie funguje, protože ukazovala jenom to, že nemá smysl lepit jednu díru, když máte vedle tisíce stejných děr.

Ale pokud pro vás osobně je binárka nepřekonatelný problém (já jsem teda psal i o Python skriptu, což není binárka…), tak se zaměřte na ty konfigurační soubory shellu. To jsou texťáky.