Názor k článku Postřehy z bezpečnosti: nedobrovolný open-source nebo zaplacení výkupného od Filip Jirsák - Vyborne, ted jste napsal: "Ano, souhlasím." Takze chapete, ze KeePassXC...

Vyborne, ted jste napsal:
"Ano, souhlasím."
Takze chapete, ze KeePassXC nema danou funkci. A tedy vase odpoved:
"Ve skutečnosti se ho to týká. "
na Kickovu vetu:
"Vieme, ze sa to KeePassXC netyka?"
Byla rozporna s tim co pisete ted. Kicko se jasne ptal na funkci KeePass, kdy uprava konfiguraku vede k vypisu hesel. Kicko se bezpochyby neptal na obecny problem podvrhnuti binarky.
Nemyslím si, že by to bylo tak těžké na pochopení, abych vám to musel vysvětlovat po desáté. Vy se stále mylně domníváte, že problém je ve stávajících funkcí konkrétního programu. Jenže tak to není. Cílem útočníka je v tomto případě získání dešifrované databze hesel, nebo šifrované databáze hesel spolu s heslem (což je ekvivalent). Pokud má útočník možnost přepisovat soubory v domovském adresáři uživatele, dokáže ta hesla získat bez toho, že by nějaký nainstalovan program měl tu funkci exportu hesel – prostě si tam přidá vlastní program, který tu funkci mít bude. Takže se to týká úplně všech aplikací, protože v případě, kdy může útočník přepisovat soubory uživatele, může takto zmanipulovat kteroukoli aplikaci.

Kicko se neptal na funkci aplikace, ptal se na uvedenou „zranitelnost“ – tedy jestli útočník s právem zápisu může aplikaci zmanipulovat k vydání hesel z databáze. A odpověď je „ano, může“.

KeePassXC se to netyka, ale je to irelevantni protoze podvrhnout binarku je (v pripade jiz pristupneho disku s uziv. daty) snadne
Proč bych měl psát větu, jejíž druhá část vyvrací první část věty? Já jsem místo toho pravdivě napsal i první část, že se to týká i KeePassXC, a vzápětí jsem vysvětlil, že se to týká všech aplikací, tedy i KeePassXC.

Jak jednoduche by bylo priznat chybu, a neprit se kvuli kazde blbine 50+ prispevku.
Tak proč tu chybu nepřiznáte? Už jste pochopil, že útočník v této situaci může nahradit libovolnou aplikaci. Takže stačí udělat dva další kroky – uvědomit si, že v takovém případě může zmanipulovat i KeePassXC, a pak už jen malý krůček – odvodit, že když může zmanipulovat i KeePassXC k vydání hesel, týká se to i KeePassXC.

Jenze to je ten vas problem, nedokazate nemit posledni slovo, nedokazate pochopit a pripadne prijmout fakta a nazory jine nez vase.
Nikoli. Problém je v tom, že vy nepíšete fakta, ale zjevné nesmysly. Proto na ty zjevné nesmysly upozorňuju. Jiné názory přijímám. Třeba názor, že automatický export dat při spuštění aplikace bez explicitního potvrzení uživatelem není vhodná funkce. To beru, každý má právo na takový názor, já jsem takový názor nikdy nerozporoval. Rozporuju jen vaše výmysly, které vydáváte za fakta – přitom to jsou zjevně nepravdivá tvrzení. Přestaňte psát nesmysly a já je nebudu vyvracet. https://xkcd.com/386/

Kdybyste mel tenhle problem jen se mnou, mohl bych si to same myslet prave o sobe. Jenze tyhle sahodlouhe diskuze na rootu jste mel s mnoha ruznymi lidmi.
Asi nejste v tom psaní nesmyslů a trvání na nich výjimečný. Stavíte se po bok lidí jako mikesznovu, Adolf.Shitler, Lol Phirae, j. Jestli vám to lichotí…

"Neměl byste to nahlásit jako CVE?" - ne, proc bych to delal?
Protože je to ekvivalent té „chyby“, o které diskutujeme, a u které obhajujete, že je to bezpečnostní chyba a má na ní být vydáno CVE (kdyby si tedy ještě někdo myslel, že CVE o něčem vypovídá).

Ale co se tyce tech 20 lidi kolem me, ti si nekde prectou o problemu keepass, ale uz nezvladnou najit na netu predem pripraveny malware.
Jenže takhle počítačová bezpečnost nefunguje. Počítačová bezpečnost se dělá kvůli těm schopným útočníkům, ne kvůli těm neschopným. Takže se musí obranné mechanismy nastavit tak, aby odolaly i těm, kteří ten malware stáhnout zvládnou.

Ostraha banky se také nedělá tak, že byste řekl „20 lidí kolem mne by nedokázalo vystřelit, takže banka žádnou ochranu nepotřebuje“.

Jak kdy, jak kde. Staci si uvedomit, ze vetsina lidi ani nezamyka sve pocitace kdyz od nej odejdou. Napriklad vtipku s podstrcenymi nevhodnymi obrazky na pozadi windowsiho desktopu uz tu bylo nekolik.
No a v takovém případě má dotyčný možnost stáhnout z internetu nebo z USB flashky příslušný upravený software a nainstalovat ho. A nemusí vůbec ničemu rozumět, prostě stáhne exe, ten se spustí, nainstaluje škodlivou aplikaci, nahradí ikony na ploše a ve Startu a je vymalováno.

Musim rict, ze me prekvapuje ze tohle vlakno asi cte i jeste nekdo jiny, a dava palecky nahoru. Cist to musi to byt utrpeni.
Mě zase překvapuje, jakou radost vám dělají vaši fanoušci, kteří vyhledávají utrpení.