KeePassXC 开发人员现在必须自我解释。已报告一个安全漏洞,并将其列为 CVE-2023-35866,目前正在讨论中。是这样的:
在打开 KeePassXC 的解锁计算机上,您可以导出整个数据库,包括密码和用户名。但是,当然,前提是该数据库也已解锁。让我再说一遍:您需要一台未锁定的计算机(或具有完全访问权限的计算机)和一个未锁定的 KeePassXC 数据库。
用户和安全研究人员对此进行讨论并不奇怪。一般来说,我们可以说不存在安全漏洞。只需锁定您的计算机即可开始。可能有争议的是,您不再需要输入主密码来导出解锁的数据库或其内容。
应对这种威胁的最简单方法是在用户离开工作场所之前锁定数据库。默认情况下,当屏幕关闭或屏幕保护程序激活时会发生这种情况。用户还可以配置基于时间的锁和最小化时的锁,以进一步限制访问。我们建议开发人员在共享工作站或可以物理访问计算机的其他位置启用这些功能。
