Keepass2与KeepassXC - KeePass-Http连接器-在Linux中的Mono

Question

请原谅初学者的问题。我已经使用Xubuntu多年了；这个问题涉及Linux/Ubuntu下的密码管理器。

我一直在使用Keepass2，它正是一个非常棒的密码管理器；然而，我有以下两个问题：

1. 我正在使用KeePass-Http连接器(这是一个非常有用和快速的扩展，可以输入登录/密码！)还有一些安全问题是这样的：

来自KeepassXC：https://keepassxc.org/project/网站

关于KeePassHTTP KeePassHTTP的说明不是一个高度安全的协议，它有某些缺陷，使得攻击者能够通过网络连接拦截KeePassHTTP服务器和KeePassHTTP之间的通信(参见https://github.com/pfn/keepasshttp/issues/258和https://github.com/keepassxreboot/keepassxc/issues/147 )，从而解密您的密码。因此，KeePassXC严格限制其自身与浏览器插件之间的通信，仅限于本地计算机。只要您的计算机不被破坏，您的密码是相当安全的方式，但使用它是你自己的风险！在KeePassXC 2.3中，我们反对使用KeePassHTTP来支持KeePassXC浏览器。

然而，我现在已经尝试使用KeepassXC，在过去的几个月里，它已经发生了很大的变化。太棒了！它不需要Mono (如果我正确理解的话)，它使用KeePassXC浏览器(而不是KeepassHTTP)

会有人对KeePassXC浏览器扩展的安全性有任何评论吗？

另外，为了运行Keepass2 (尤其是如果还使用Keepass-Http连接器)，需要Mono。有人会说Mono是一种安全风险。请参阅https://sites.google.com/site/easylinuxtipsproject/security

这是对的吗？-我会想我不太可能在Linux下“意外地”执行恶意软件作为root？

抱歉，…的问题混在一起了基本上，我是在问，在Linux下，使用KeepassXC是否比使用Keepass2更安全？

Answer 1

各种问题的混合使得回答起来更加困难，最好是把不同的问题作为单独的问题来问。

我将试着就你提到的一些问题提供一个一般性的答案：

有人会说Mono是一种安全风险。你看https://sites.google.com/site/easylinuxtipsproject/security这是对的吗？-

这个页面指出，通过安装红酒或mono，可以让您运行更多的程序(如windows程序)，它们也使运行恶意软件变得更容易。(因为你可能会被eg感染。一种为windows目标开发的赎金)。

YMMV，您可能会发现，运行程序X的好处超过了更高的暴露风险。

我会想，在Linux下，我不太可能“意外地”执行恶意软件作为root？

你有多不可能不小心得到可卡因的恶意软件，这在很大程度上取决于这个人。有些人非常有意识，不会把任何不完全无害的事情(甚至他们只限于他们的包管理器)作为根源运行，而另一些人则会做各种愚蠢的、有害的行为(…)。作为root用户(并且应该根本没有根权限)。

然而，running malware != running malware as root.即使它不能作为root运行，恶意软件也会造成很大的危害，例如赎金软件。您的系统文件(可以通过重新安装来恢复)将是安全的，但是您的照片和个人数据不会安全。兰德尔·芒罗在他的xkcd 1200:授权上表达了这一点：

( CC-BY-NC-2.5许可下的图像)

KeePassXC浏览器比KeePassHTTP好吗？

我还没有研究过扩展本身，但是从链接错误的简要介绍来看，我认为是的。如果有的话，因为KeePassHTTP有一些缺陷，是KeePassXC浏览器设计用来修复的。

但是请注意，您可以在没有任何浏览器插件的情况下使用它们中的任何一个，在这种情况下，这部分可能并不重要。

我个人更喜欢KeepassXC而不是Linux下的Keepass2，因为我发现它能更好地与整个系统集成。但在安全方面，我想说你可以安全地使用它们。KeepassXC可能更安全吗？也许吧。虽然两者之间的差别很小。