KeePassXC โปรแกรมจัดการรหัสผ่านโอเพนซอร์สเปิดเผยรายงานตรวจสอบความปลอดภัยโค้ด ที่ตรวจสอบโดย Zaur Molotnikov ที่ปรึกษาด้านความปลอดภัย การตรวจสอบเน้นเฉพาะระบบการอ่านและเขียนฐานข้อมูลรหัสผ่าน โดยไม่ได้ตรวจสอบส่วนอื่นๆ เช่น เช่น ระบบการสุ่มรหัสผ่าน
KeePassXC เป็นโครงการโอเพนซอร์สที่พัฒนาโปรแกรมโดยใช้ฐานข้อมูลร่วมกับโปรแกรม KeePass ได้ แม้จะใช้ฐานข้อมูลแบบเดียวกัน แต่ KeePass นั้นพัฒนาด้วยภาษา C# และต้องการ .NET ขณะที่ KeePassXC ใช้ภาษา C++ และพัฒนาด้วย Qt สำหรับ โปรแกรม KeePass เองนั้นเคยถูกตรวจสอบโดยสหภาพยุโรปเป็นผู้ให้ทุน
แม้ไม่มีช่องโหว่ร้ายแรง แต่รายงานก็ระบุว่าไฟล์ KDBX4 นั้นปลอดภัยกว่าไฟล์ฟอร์แมตเดิมมาก Molotnikov แนะนำให้ทางโครงการเตือนผู้ใช้เมื่อเปิดไฟล์ในฟอร์แมตเก่า และพยายามผลักดันให้ผู้ใช้ย้ายไปฟอร์แมตใหม่ และยังมีกระบวนการจัดการหน่วยความจำที่สามารถปรับปรุงเพื่อให้แน่ใจว่าไม่มีรหัสผ่านที่ไม่ได้เข้ารหัสหลงเหลืออยู่
กระบวนการตรวจสอบความปลอดภัยโค้ดโดยหน่วยงานภายนอกเป็นแนวทางสำคัญในการเพิ่มความปลอดภัยซอฟต์แวร์ แต่กระบวนการนี้ก็มีข้อจำกัด เพราะการตรวจสอบคุณภาพมีค่าใช้จ่ายสูง และมักมีการจำกัดขอบเขตการทำงานไว้ชัดเจน รวมถึงการตรวจสอบก็ตรวจสอบที่เวอร์ชั่นที่ระบุเท่านั้น หลังการตรวจสอบแล้วโค้ดที่มีการพัฒนาเพิ่มเติมก็จะต้องรอการตรวจสอบรอบต่อไป
ที่มา - KeePassXC
Comments
สอบถามผู้ใช้ทั้งสองโปรแกรมหน่อยครับท ว่าตัวไหนดีกว่ากัน อย่างไร
ผมเคยใช้ KeePass มาก่อนนะ แต่หลังๆ เปลี่ยนมา XC เพราะใช้ YubiKey นี่แหละ
KeePass ปกติจริงๆ ก็ใช้ HWToken ได้นะ แต่ต้องลง plugin แถมมันชอบมีปัญหากับ KeePass for Android ที่ผมใช้บนมือถือมันไม่ค่อย support ด้วย
แต่ทีเด็ดทีขาดจริงๆ เป็นเรื่อง support TOTP นี่แหละ XC ทำมารองรับในตัวเลย ไม่โดนจำกัดจำนวน entry แบบที่ใช้อยู่เดิมบน token ด้วย
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
รอดูว่าจะมีคนบอกว่า "ใช้ Rust สิ จะปลอดภัยขึ้นอีก" หรือเปล่า
Rust with a lot of Unsafe keywords
เอาเข้าจริงก็น่าจะช่วยได้จริงๆ นะครับ
แต่โค้ดขนาดนี้ ใครจะพอร์ต
lewcpe.com , @wasonliw
จะปลอดภัยมันอยู่ที่คนเขียนสัก 90%
วันก่อนอ่าน slack ของ opensource หนึ่งมีคนเอา error "segment fault" ของโปรแกรมที่เขียนด้วย GO มาถามทำไมมัน error
ขนาดมี Garbage collector ยังไม่รอด
"ใช้ Rust สิ จะปลอดภัยขึ้นอีก"