Forum

Bonsoir à toutes et tous,

Suis "tombé" dans mon flux RSS Hacker News (qui appartient à Reddit désormais) sur ce post de la Team KeepassXC.

Certes, nous ne sommes pas sous Debian, mais j'ai un peu de mal à comprendre les conséquences de cette décision.

Un éclairage ? Des soucis de sécurité ?

Bonjour,
Aucune. Mageia n'a aucun rapport avec Debian. Et c'est un problème de paquet pas du logiciel.

Oui, il me semblait bien avoir compris cela. Mais pourquoi chez Debian, pour un logiciel comme keepassXC, le logiciel est proposé désormais en plusieurs paquets ? Je me dis que si cela est fait c'est qu'il y a une bonne raison ? Ca m'étonnerait que cela soit juste pour le "fun"

Bonjour,
Le raisonnement est qu'un logiciel de sécurité avec le minimum de fonctionnalités est moins sujet à des attaques.
La fonctionnalité désactivée est le fonctionnement du réseau, dont il est qu'elle permet d'obtenir l’icône de favori. Il y a aussi une fonction "IPC" qui est désactivé, mais je n'ai pas compris à quoi ça correspondait. Ceci réduit également les "traces" laissées sur Internet.
J'ai compris que deux versions étaient proposées, l'une réduite (le standard), l'autre pleinement fonctionnelle.

Papoteur a bien résumé. KeepassXC a plusieurs fonctionnalités réseaux : une extension pour remplir les sites automatiquement, la possibilité d'aller chercher le fichier de base de donnée sur le réseau, le téléchargement des icônes des sites, un agent SSH dont j'ignore les fonctionnalités.
Pour le mainteneur de Debian, tous ces points sont des failles de sécurité. Ça n'a aucune justification, surtout que d'après l'équipe de keePassXC, il est quand même obligé de laisser toutes les dépendances pour faire fonctionner le logiciel. Je ne pense pas que Mageia ira vers une telle paranoïa qui se fait au détriment de l'utilisabilité. Si on enlève le lien avec l'extension navigateurs, beaucoup de gens se tourneront vers des alternatives dont certaines sont propriétaires.

J'utilise KeepassXC uniquement pour générer des mots de passe lors de l'inscription sur des sites. Ensuite, je stocke les mots de passe dans des fichiers txt.

Merci beaucoup pour toutes les explications.

A suivre quand même dans le temps. Pour ma part, je ne serais pas forcément contre le fait d'avoir keepassXC en "pièces détachées" si cela assure une meilleure sécurité. En effet, je n'ai pas besoin de toutes les fonctionnalités. Et si le jour j'ai besoin de keepassXC pour une fonctionnalité particulière, s'il suffit d'installer le paquet correspondant, ce n'est pas très compliqué non plus.

Attendons de voir ce que font les autres distros. Mais si toutes s'y mettent, alors faudra peut être le faire aussi ?

En attendant, je passe en résolu !

Merci encore !

artenaki :

J'utilise KeepassXC uniquement pour générer des mots de passe lors de l'inscription sur des sites. Ensuite, je stocke les mots de passe dans des fichiers txt.

Bonjour Artenaki,
donc tu es obligé de chercher tes identifiants et mots de passe dans ton fichier .txt à chaque fois ?
Personnellement j'apprécie beaucoup cette fonctionnalité de KeepassXC qui reconnait le site et propose identifiant et mot de passe (presque) automatiquement.

artenaki :

... je stocke les mots de passe dans des fichiers txt.

J'espère au moins que ton .txt est chiffré avec GPG !


Sinon on commence à traiter aussi la question sur LinuxFR !

TuxMips :

J'espère au moins que ton .txt est chiffré avec GPG

Non, rien n'est crypté.

Je préfère les fichiers standard, ils posent moins de problèmes que les formats/programmes spéciaux.
Depuis qu'Opera Presto m'a laissé un fichier de notes non standard.
Les programmes vont et viennent. Le format txt reste.

Cependant, dans le cloud, je garde le fichier txt dans un 7z crypté.

DéBé :

donc tu es obligé de chercher tes identifiants et mots de passe dans ton fichier .txt à chaque fois ?

Oui, mais les mots de passe sont également mémorisés par le navigateur (fonctionnalité standard). Et je n'efface pas les cookies.

Je ne pense pas qu'il y aura un problème dans Debian, car le paquet full existera également. Cela n'affectera que les mises à jour.

Édité par Visiteur Le 15/05/2024 à 01h50