Lo strano caso di KeePassXC, software open-source di cui il maintainer Debian ha deciso di ridurre le funzionalità per ragioni di sicurezza

28

Quella di cui parliamo oggi è una polemica scoppiata in seno al progetto Debian e che riguarda un software open-source pacchettizzato nella distribuzione ed il suo maintainer, il quale ha deciso in autonomia di modificarne le funzionalità abilitate di default.

La storia è raccontata nel dettaglio in questo articolo di Linuxiac e cercheremo qui di riassumerla.

Julian Klode, sviluppatore Debian ed Ubuntu Core oltre che maintainer del pacchetto KeePassXC (un software open-source di gestione delle password) durante l’ultimo aggiornamento del pacchetto ha deciso di disabilitare tutta una serie di plugin che vengono compilati di default nel programma, come ad esempio l’integrazione nel browser.

Le ragioni indicate da Klode sono relative alla sicurezza, poiché i plugin di default, a suo dire, allargano le superfici di attacco per quanti installano il software.

Il problema è che fino all’ultimo aggiornamento quelle funzionalità erano presenti ed utilizzabili dagli utenti, i quali si sono trovati spiazzati dall’update (che ha riguardato solo Debian Testing, quindi non la versione più stabile, ma comunque molto utilizzata) tanto da aprire logicamente issue all’interno della pagina GitHub del progetto, per avere delucidazioni.

Klode ha risposto in questi termini alla richiesta di ripristino delle funzionalità rimosse:

I’m afraid that’s not going to happen. It was a mistake to ship with all plugins built by default. This will be painful for a year as users annoyingly do not read the NEWS files they should be reading but there’s little that can be done about that.

It is our responsibility to our users to provide them the most secure option possible as the default. All of these features are superfluous and do not really belong in a local password database manager, these developments are all utterly misguided.

Users who need this crap can install the crappy version but obviously this increases the risk of drive-by contributor attacks.

Ho paura che ciò non accadrà. È stato un errore distribuire il pacchetto con tutti i plugin di default. Questo creerà una situazione complicata per un anno poiché gli utenti fastidiosamente non leggono i file NEWS che dovrebbero leggere, ma c’è poco che si possa fare al riguardo.

È nostra responsabilità nei confronti dei nostri utenti fornire loro l’opzione più sicura possibile di default. Tutte queste funzionalità sono superflue e non appartengono realmente a un gestore di database di password locale, questi sviluppi sono tutti completamente fuorvianti.

Gli utenti che hanno bisogno di questa schifezza possono installare la versione scadente ma ovviamente questo aumenta il rischio di attacchi da parte dei contributori.

Le risposte a questa decisa affermazione si dividono tra chi concorda con Klode e chi invece afferma che questa decisione arbitraria (oltre alla mal celata accusa di incapacità di sapersi gestire fatta agli utenti) sia totalmente sbagliata, in particolare poiché avviene all’interno di un progetto come Debian, dove ogni decisione viene sempre presa in maniera democratica.

La cosa poi ovviamente non è stata presa benissimo dagli sviluppatori di KeePassXC, i quali oltre ad affermare di non esser stati informati della scelta hanno consigliato agli utenti l’unica soluzione possibile, ossia utilizzare i pacchetti Flatpak.

Qualcosa nel frattempo però si è smosso, essendo infatti stato creato un pacchetto denominato keepassxc-full che contiene tutte le funzionalità il quale, pur non risolvendo il problema (poiché gli utenti che usano il vecchio pacchetto dovranno rimuoverlo in virtù di questo) quantomeno offre una alternativa.

Siamo pronti in ogni caso a scommettere come questa vicenda non si chiuda qui, poiché di fatto solleva un problema che potrebbe riguardare in generale l’intero progetto Debian.

Cosa succederebbe agli utenti finali se ogni maintainer prendesse decisioni simili?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

28 risposte a “Lo strano caso di KeePassXC, software open-source di cui il maintainer Debian ha deciso di ridurre le funzionalità per ragioni di sicurezza”

  1. Avatar Black_Codec

    Errore non contattare i dev, almeno per correttezza… Tuttavia molti plugin di keepass e keepassxc di conseguenza espongono il password manager a possibili attacchi, uno su tutti il plugin per l’accesso via browser… Ma questo è un discorso valido per tutti i pass manager…

  2. Avatar Alessandro Scarozza
    Alessandro Scarozza

    sempre più convinto che le distribuzioni dovrebbero completamente rimuovere ogni pacchetto proveniente da fonti non affidabili, sopratutto quando esiste anche come flatpak

    per affidabili intendo proprio tipo linuxOrg, gnu, gnome, kde, etc

    neanche gimp prenderei in considerazione

  3. Avatar sbaragnaus
    sbaragnaus

    Capisco la sicurezza, ma se la mettiamo così, togliendo funzionalità, si rischia di favorire prodotti closed-source e commerciali, a discapito di quelli gratuiti e open source.

    ps. Quanti di voi leggono tutti i file news e readme di ogni pacchetto che hanno installato sul proprio sistema?

  4. Avatar Raoul Scarazzini

    Ma infatti il problema è la pretesa che un utente legga decine di pagine di CHANGELOG per continuare ad utilizzare un programma che fino a ieri faceva esattamente quel che voleva, ed ora dopo l’aggiornamento non lo fa più. Questi “breaking changes” non dovrebbero mai esser parte del ciclo di mantenimento del software, avrebbe avuto molto più senso creare un pacchetto aggiuntivo keypassx-lite con solo lo stretto indispensabile e lasciare l’originale com’era.

  5. Avatar Raoul Scarazzini

    Il problema è che “affidabile” è un concetto del tutto relativo. Quali dati oggettivi usi per distinguere un software dall’altro e determinare quale sia affidabile?

  6. Avatar Raoul Scarazzini

    Esattamente, così come per tutti i software in generale. Anche SSH aperto a root con password “password” è un buco di sicurezza…

  7. Avatar Alessandro Scarozza
    Alessandro Scarozza

    i criteri sono scelti dalla distribuzione, ma devono essere esplicitati, non basta avere il sorgente gpl.
    la distro deve garantire per la selezione effettuata, ed esserne responsabile.

    se un progetto non sai chi lo gestisce non lo inserisci.

    anni fa riuscii a far inserire nei repo Debian “amule adunanza”, un fork di amule. nel totale anonimato, sia mio che degli autori del fork.

  8. Avatar Raoul Scarazzini

    Beh ma quello che tu stai indicando come un limite io trovo che sia la vera forza di un progetto come Debian, dove c’è *tutto*.
    Poi la frase “la distro deve garantire” vale solo per distribuzioni per le quali paghi una subscription, vedi RHEL, mentre Debian le garanzie che dà sono di altra natura (https://www.debian.org/social_contract), sarebbe assurdo dire che dovrebbe assumersi la responsabilità di un software che ha un’insicurezza implicita.

  9. Avatar Alessandro Scarozza
    Alessandro Scarozza

    cerco di spiegarmi, gia ad oggi per diventare mantainer di debian hai bisogno di “sponsorizzazioni” cioè di altri mantainer che ti conoscono e che “garantiscono” per te, non troppo diverso da come funziona SSL.
    al contrario per il software se è conforme al DFSG e tutte le dipendenze sono conformi viene accettato qualunque sia la fonte upstream, anche senza conoscerla.

    io dico di avere nel repository “main” solo software proveniente da fonti conosciute che vengono reputate affidabili.

    ma è un discorso complicatissimo

  10. Avatar BlaBla
    BlaBla

    Si va bhe ti danno un sistema da 100mega con solo una riga di comando da cui non puoi fare niente haha ridicolo

  11. Avatar Alessandro Scarozza
    Alessandro Scarozza

    non penso proprio

  12. Avatar Mauro
    Mauro

    Il file di NEWS è separato dal changelog e contiene solo poche informazioni utili quando c’è una breaking change. Dovrebbe venire mostrato all’atto dell’installazione dell’aggiornamento, anche se poi dipende dal front-end di apt utilizzato il fatto che venga o meno (e come) visualizzato.

  13. Avatar Fulvio Magni
    Fulvio Magni

    La mia domanda è: se hai di questi problemi perché usi ancora Debian? Passa ad Archlinux. Certo non è la distro più adatta per chi è ancora alle prime armi, ma il raggiungimento dellla libertà richiede dedizione e impegno.

  14. Avatar Black_Codec

    Il problema è commentare con pressappochismo, cioè l’affidabilità qui ha veramente poco a che fare con il problema, come ho scritto qualsiasi password manager che interagisce con un browser avrà per forza una componente che lo espone al passaggio in chiaro della password…
    Quindi anche se la fonte fosse ultraffidabile non cambierebbe la situazione. La cosa strana è che il plugin di keepassxc è compilato si ma non attivo di default quindi, a meno di modifiche fatte dal manteiner, quello che hanno scritto è abbastanza una cavolata…

  15. Avatar Black_Codec

    Ti vorrei far notare che su flatpak non hai alcuna garanzia di chi rilascia il pacchetto… Google Chrome su flathub non è rilasciato da Google…

  16. Avatar Alessandro Scarozza
    Alessandro Scarozza

    certamente ma:
    1) è evidenziato che il wrapper non è ufficiale
    2) tutto è eseguito in sandbox (non isolamento totale ma meglio di nulla)
    3) i pacchetti flatpak sono concettualmente separati rispetto ai pacchetti core della distro

  17. Avatar Alessandro Scarozza
    Alessandro Scarozza

    non parlo dell’affidabilità del software ma degli autori, e di quale è la gestione del progetto

    chi sono gli autori dei plugin di KeePassXC?
    quanto ci metterebbe una persona malintenzionata ad avere i permessi di push nei repo dei plugin ? (vedi xz)

  18. Avatar paride
    paride

    A questo punto tanto vale lfs

  19. Avatar Raoul Scarazzini

    E ti passa la paura 😀 😀 😀

  20. Avatar Black_Codec

    E di nuovo, ancora pressappochismo… Il problema non è il plugin ma come deve funzionare lo stesso per integrarsi col browser… Ed è un problema che hanno tutti i password manager che si integrano con i browser.
    Gli autori di keepassxc sono più attendibili di quelli di mate per dire, o lxqt o xfce… Di nuovo è pressapochismo… xz ha colpito anche gnome quindi di cosa parliamo?
    Tutto lo sviluppo dovrebbe essere in mano alle aziende? Perché sai se i dev sono tutti dipendenti di x faranno gli interessi di x e sai questo non è mai stato un bene nel mondo informatico.

  21. Avatar Black_Codec

    Un browser infetto può girare in tutte le sandbox che vuoi e ti leggono le password…
    Fatti una ricerca delle cve su flatpak … Ti metti paura a leggere quanto siano pericolose, alcune accedevano a funzioni amministrative del kernel…

  22. Avatar Alessandro Scarozza
    Alessandro Scarozza

    mi accusi di pressapochismo e confondi gli autori di keepassxc con gli autori dei plugin di keepassxc

  23. Avatar Simen
    Simen

    Il plugin per i browser è fatto sempre da loro.

  24. Avatar Black_Codec

    Sono gli stessi per quello ti dico che è pressapochismo… Ripeto il problema è assai più grande di come appare ed è un problema che hanno tutti i password manager, senza differenza tra dev… Come passo le informazioni al browser? Lo faccio fare all’utente? Bene quanti utenti userebbero password ultracomplesse nel caso dovessero poi riscriverle sempre a mano? Uno? Due? O forse anche nessuno… Quindi auto completamento, ma come passi le informazioni? Tramite clipboard? Falla! Nella clipboard la password è in chiaro…. Ora capisci che accusare a o b del problema è infantile? Anzi denota un’analisi di massima e poco professionale, il manteiner di fatto si è comportato male, c’è poco su cui discutere.

  25. Avatar sbaragnaus
    sbaragnaus

    La Debian è una distribuzione “madre” per tante altre; chi non lo dice che i prossimi Ubuntu, MX Linux, Linux Mint e compagnia bella non ereditino questa limitazione?

  26. Avatar Alessandro Scarozza
    Alessandro Scarozza

    @simop82:disqus perchè parlate di 1 solo plugin quando se ho capito bene ne sono stati disattivati vari o tutti ? conoscete gli autori di tutti i plugin ?

    in ogni caso il mio era un commento generico sulla gestione dei repository di una distro, non del progetto specifico che neanche conosco

  27. Avatar Simen
    Simen

    Non si tratta di plugin di terze parti ma di componenti che sono sempre stati presenti di default su KeePassXC

  28. Avatar Black_Codec

    Invece che avere tutto incluso nel programma hanno trasferito delle funzioni ai plugin nativi, non di terze parti. È un approccio ottimale perché così se voglio compilarlo senza posso farlo, il punto è che non è un problema del dev o di chi sviluppa il plugin, e di nuovo dovrebbero bannare anche il password manager di firefox allora.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *