A klasszikus jelszókezelő alkalmazásokat preferálók gyakran ajánlják a jól bevált KeePass használatát, az ingyenes alkalmazás remekül megfelel a céljára. Sajnos most kiderült, hogy a beépített frissítéskeresőjén keresztül közbeékelődéses módszerrel támadhatóak a felhasználói.
A problémát az okozza, hogy a frissítéskereső titkosítatlan HTTP adatkapcsolaton keresztül kommunikál a KeePass internetes szerverével. A művelet során nem csak a verziószámokat hasonlítja össze a program, de az újabb verzió letöltéséhez használatos webhely linkjét is a szerverről kéri le. Ez lehetővé teszi a szerver és kliens közé beékelődött támadó számára, hogy kártékony webhelyekre irányítsa a felhasználókat.
A KeePass fejlesztője meglepő módon nem kívánja megoldani a problémát. Állítása szerint a HTTPS-re való átállás "jelenleg nem lehetséges", de idővel azért szeretné megoldani. A spekulációk szerint az jelenti a fejlesztő legnagyobb problémáját, hogy a HTTPS-re való átállás után nem működnének a KeePass weblapjaira beágyazott reklámok.
Ettől függetlenül érthetetlen az álláspont, hiszen nem lenne muszáj az egész webhelyet átállítani a HTTPS használatára. Az alapvető probléma már azzal is megoldódna, ha a frissítéskezelő titkosított kapcsolaton kommunikálna a szerverrel, hiszen így nem lehetne végrehajtani a linkcserés, közbeékelődéses támadást.
Ezt az ötletet a KeePass készítője haszontalannak titulálta, állítása szerint csak akkor van értelme a HTTPS-nek, ha a komplett webhely (a frissítéskereső által használt linkkel együtt) átáll a titkosított kapcsolat használatára. Ennek okát szintén részletezte, de feltehetően arra gondolt, hogy a névfeloldáskor kivitelezhető közbeékelődéses támadás lehetőségét nem hárítaná el a megoldás, azaz a támadó képes lehetne hamis információt visszaadni a keepass.info webhelyhez tartozó statikus IP-cím kliensoldali lekérdezésekor. Ez a lehetőség viszont akkor is fennáll, ha a komplett webhely átáll a HTTPS-re.
A legjobb megoldás tényleg a HTTPS univerzális használata lenne, de a jelenlegi mindent vagy semmit álláspont nem szolgálja a felhasználók érdekeit, és nem tesz jót a fejlesztő megítélésének sem. A KeePass felhasználóinak azt javasoljuk, hogy kapcsolják ki a beépített frissítéskezelőt, helyette manuálisan ellenőrizzék az új verziók elérhetővé válását.
