모든 온라인 계정에 대한 모든 암호를 기억하는 것은 어려운 일이며 이것이 LastPass, Dashlane 및 1Password와 같은 암호 관리자가 존재하는 이유입니다. 그러나 이러한 거대한 암호화 된 사용자 이름과 암호 데이터베이스는 범죄자들의 주요 표적이되며 많은 프로그램이 침해를당했습니다.
이번 주 무료 비밀번호 관리자 KeePass 사이트에 발표 취약점이 존재합니다 소프트웨어에서 해커는 새로운 KeePass 소프트웨어로 위장하여 맬웨어가 포함 된 가짜 소프트웨어 업데이트를 사용자에게 보낼 수 있습니다. KeePass는 보안 버전 HTTPS 대신 암호화되지 않은 HTTP (Hypertext Transfer Protocol)를 사용합니다. (HTTP와 HTTPS가 무엇인지 모르는 경우이 페이지의 URL을 참조하세요. HTTPS는 인터넷 브라우저와 웹 사이트간에 전송되는 데이터를 호스팅하는 프로토콜입니다. HTTPS는 안전하며 각 웹 사이트와 서버를 인증하여 악성 사이트가 합법적 인 사이트로 위장하고 있지 않은지 확인하십시오.)
보안 연구원 Florian Bogner LifeHacker에게 KeePass는 소프트웨어 업데이트에 HTTP를 사용하기 때문에 사기꾼은 악성 소프트웨어로 급증하는 가짜 업데이트를 만들 수 있습니다.
KeePass는 사이트에서 설명합니다.
버전 정보 파일은 HTTP를 통해 KeePass 웹 사이트에서 다운로드됩니다. 따라서 중간에있는 사람 (KeePass 웹 사이트에 대한 연결을 가로 챌 수있는 사람)이 잘못된 버전 정보 파일을 반환하여 KeePass가 새 KeePass 버전을 사용할 수 있다는 알림을 표시 할 수 있습니다.
KeePass는 KeePass가 자동 업데이트를 호스팅하지 않기 때문에 해커가 악성 코드가 포함 된 가짜 업데이트를 전송한다고해서 공격이 진행중인 것은 아닙니다. KeePass 사용자는 새 버전을 수동으로 다운로드해야합니다. KeePass는 사용자가 디지털 서명을 확인해야하며 멀웨어가있는 경우 다운로드하지 마십시오.
로미오 산토스 순 가치 2016
디지털 서명을 확인하는 방법에 대한 자세한 내용은 아래 Bogner의 비디오를 참조하십시오.
