KeePassXC-Betreuer in Debian entfernt alle Netzwerkfunktionen

 (fosstodon.org)
1 Punkte von GN⁺ 2024-05-12 | 1 Kommentare | Auf WhatsApp teilen

Kontroverse um entfernte Funktionen im KeePassXC-Paket von Debian

  • Der Paketbetreuer von KeePassXC in Debian hat einseitig entschieden, alle Funktionen aus dem Paket zu entfernen.
  • Im Standardpaket keepassxc in Debian sid werden Networking, SSH-Agent, Browser-Plugin, fdo Secret Storage und weitere Funktionen entfernt, sodass nur ein Minimalumfang verbleibt.
  • Wer diese Funktionen benötigt, muss auf das Paket keepassxc-full wechseln.

Streit um die Begründung für die Funktionsentfernung

  • Im Debian-Bugreport werden Sicherheitsprobleme als Grund angeführt.
  • Das KeePassXC-Team hält es jedoch für überzogen, nicht nur Networking, sondern fast alle Funktionen wie YubiKey-Unterstützung, Auto-Type und Browser-Integration zu entfernen.
  • Es gibt auch die Ansicht, dass die Entfernung von Funktionen den Nutzern eher benötigte Möglichkeiten nimmt, als tatsächlich Schwachstellen zu reduzieren.

Debians Position und Reaktionen

  • Debian vertritt die Position, dass das Entfernen ungenutzten Codes und unnötiger Funktionen nach dem liblzma-Kompromittierungsfall aus Sicherheitsgründen der beste Weg sei.
  • Kritisiert wird jedoch, dass die Entscheidung einseitig und ohne vorherige Abstimmung mit dem KeePassXC-Team getroffen wurde.
  • Um die Verwirrung der Nutzer möglichst gering zu halten, soll ein Übergangspaket bereitgestellt werden, das keepassxc auf keepassxc-full umstellt.

Meinung von GN⁺

  • Unnötige Funktionen aus Sicherheitsgründen zu entfernen, ist an sich nicht verkehrt, aber es ist kein guter Ansatz, dies ohne Umbenennung des Pakets zu tun und Funktionen, die bestehende Nutzer verwendet haben, plötzlich zu streichen.
  • Wenn Distributionen wie Debian ihre Paketrichtlinien ändern, sollten sie möglichst die Upstream-Entwickler einbeziehen und versuchen, die Verwirrung aus Sicht der Nutzer zu minimieren.
  • Sinnvoll wäre es, ein vollständiges Paket und ein Minimalpaket getrennt anzubieten, klar zu benennen und den Nutzern die Wahl zu lassen.
  • Eine andere Passwortverwaltung zu suchen, ist zwar eine Möglichkeit, aber ebenso wichtig ist es, sich aktiver an KeePassXC zu beteiligen und gemeinsam an Verbesserungen zu arbeiten.
  • Freie Software bedeutet nicht, dass Paketbetreuer beliebig handeln können; vielmehr sollten sie die Meinungen der Nutzer- und Entwickler-Community respektieren und transparent kommunizieren.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-05-12
Hacker-News-Kommentare

Zusammenfassung der Hacker-News-Kommentare

1. Bedenken dagegen, Funktionen des Upstream-Projekts zu entfernen und unter demselben Namen zu verteilen

  • Es ist problematisch, vom Upstream-Projekt implementierte Funktionen zu entfernen und das Ergebnis unter demselben Namen zu verteilen
  • Wenn man diesen Weg gehen will, sollte man einen Fork erstellen und ihn unter einem anderen Namen verteilen
  • Erwähnt wird ein früherer Fall, in dem der Debian-Paketbetreuer von Chromium eigenmächtig die Installation von Erweiterungen deaktiviert hatte

2. Die Ansicht, dass das Entfernen von Netzwerkfunktionen aus Sicherheitsgründen sinnvoll ist

  • Bei einem Passwortmanager können Netzwerkfunktionen und Browser-Integration potenzielle Schwachstellen darstellen
  • Wenn nur eine vertrauenswürdige Datenbank ohne Netzwerkfunktionen verwendet wird, können entdeckte Schwachstellen nicht ausgenutzt werden
  • In Debian existiert auch ein Paket mit der vollständigen Version inklusive Netzwerkfunktionen, daher können Nutzer bei Bedarf keepassxc-full installieren
  • Allerdings ist es nicht produktiv, den Upstream als „schlecht“ zu bezeichnen; keepassxc-lite und keepassxc-full wären möglicherweise passendere Paketnamen

3. Die Auffassung, dass die Paketierung sowohl einer „full“- als auch einer „minimal“-Version die richtige Wahl ist

  • Zwischen den beiden Versionen sollten Conflicts-Beziehungen definiert und die Tags Provides und Replaces genutzt werden, damit Nutzer wählen können
  • Es wird infrage gestellt, warum das nicht die offensichtliche Entscheidung war

4. Kritik an Arch Linux, weil das passim-Paket ohne Zustimmung der Nutzer zur Abhängigkeit gemacht wird

  • Das Paket fwupd ist so konfiguriert, dass es ohne Zustimmung der Nutzer von passim abhängt
  • passim startet einen Webserver auf 0.0.0.0:27500 und verwendet das stark von Schwachstellen betroffene GnuTLS
  • Diese Konfiguration könnte ausgenutzt werden, was Anlass zur Sorge gibt

5. Die Meinung, dass Kernfunktionen nach dem Prinzip der geringsten Überraschung nicht deaktiviert werden sollten, solange kein dokumentiertes Risiko besteht

  • Die Funktionen von KeePassXC werden ohne ausdrückliches Eingreifen der Nutzer nicht zur Ursache von Schwachstellen
  • Die Browser-Integration ist deutlich sicherer als der Zugriff auf die Zwischenablage und passt auch zur Vision des Projekts
  • Von dieser Änderung profitieren nur sehr wenige Nutzer, während sie für Menschen, die die Browser-Integration verwenden, erhebliche Unannehmlichkeiten verursacht

6. Die Behauptung, dass dies eine falsche Entscheidung des Debian-Paketbetreuers ist, weil sich die Unterscheidung auch ohne Bruch für bestehende Nutzer umsetzen ließe

  • Ein KeePassXC ohne Netzwerkfunktionen anzubieten ist gut, aber die Browser-Integration als Nischenfunktion anzusehen, ist realitätsfern
  • Mehr als die Hälfte der Debian-Nutzer von KeePassXC dürfte von dieser Entscheidung überrascht werden
  • Letztlich ist es die Entscheidung des Paketbetreuers, aber keine gute

7. Zitat der Meinung eines KeePassXC-Betreuers

  • Es gibt Berichte, dass durch die neue Paketierungsweise die Arbeitsabläufe der Menschen zerstört wurden
  • Es wurde auch ein Fall genannt, in dem einem Nutzer der Zugriff auf seine Datenbank unmöglich wurde, weil die Yubikey-Funktion entfernt worden war
  • Menschen, die den Zugriff auf ihre wichtigsten Geheimnisse verlieren, können in einem Moment der Panik irrational handeln

8. Die Meinung, dass ein Paket unter einem anderen Namen verteilt werden sollte, wenn es entgegen der Absicht des Upstream-Projekts verändert wird

  • Wenn ein Downstream-Betreuer ein Paket verändert, sollte er es unter einem anderen Namen verteilen und alle Bugreports bearbeiten, die durch die modifizierte Version entstehen

9. Hinweis, dass die neueste Diskussion im GitHub-Issue verfolgt werden kann

10. Der Hinweis, dass der Titel falsch ist

  • Im ursprünglichen Beitrag wurde erwähnt, dass nicht nur die Netzwerkfunktionen, sondern alle Funktionen entfernt wurden, und das stimmt
  • Alle optionalen Funktionen einschließlich Offline-Funktionen wurden beim Build deaktiviert