![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" "\\"Sicherheit\\"")
Der Anbieter der App Keeper, die US-Firma Keeper Security, hat den US-Reporter Dan Goodin von Ars Technica verklagt. Ziel: Der Artikel zur Sicherheitsl\u00fccke in Keeper soll aus dem Web verschwinden.<\/p>\nDer Anbieter der App Keeper, die US-Firma Keeper Security, hat den US-Reporter Dan Goodin von Ars Technica verklagt. Ziel: Der Artikel zur Sicherheitsl\u00fccke in Keeper soll aus dem Web verschwinden.<\/p>\n
<\/p>\n
Nach meinen Informationen war die Sicherheitsl\u00fccke wohl in einer Browser-Erweiterung, die zum Einf\u00fcgen der Passw\u00f6rter in Webseiten verwendet wird, enthalten, wurde mit der Windows 10-App Keeper aber mit ausgeliefert. Die US-Firma Keeper Security hat die Sicherheitsl\u00fccke in diesem Blog-Beitrag<\/a> best\u00e4tigt und mit der Version 11.4.4 auch behoben. Im Blogbeitrag schreiben die Leute: Man habe am 8. Dezember eine neue Browser-Extension 11.3 freigegeben. Am 14. Dezember sei man von Tavis Ormandy informiert worden und am 15. Dezember 2017 habe man die fehlerbereinigte Version bereits freigegeben. Kein Kunde sei durch diese L\u00fccke betroffen worden.<\/p>\n Bis zu diesem Punkt h\u00e4tte man sagen k\u00f6nnen: OK, denen ist ein Fehler passiert, die haben fix reagiert, den Bug behoben und ausgerollt. Und das w\u00e4re es gewesen. Nun wird es aber schmutzig, denn Keeper Security versucht Einfluss auf die Berichterstattung zu nehmen. <\/p>\n Tavis Ormandy erhielt von Keeper Security eine E-Mail, in der er zur Korrektur einiger seiner Ausf\u00fchrungen im Bug-Report aufgefordert wurde. Hier seine Ausf\u00fchrungen, die er an den Bug-Report<\/a> angeh\u00e4ngt hat.<\/p>\n Keeper sent me a mail requesting multiple changes to this report, the crux of their concern is that they believe the Keeper browser extension is a separate product to their Keeper desktop application, and believe this report conflates the two products.<\/p>\n<\/blockquote>\n The keeper browser extension is installed as part of the default setup flow for the Keeper application, the relevant prompt can be seen in the attached screenshot. Unless a user clicks \"Skip\" in this dialog, they would be affected by this vulnerability. I stand by my original assessment of this issue, and consider clicking \"Skip\" here a non-default configuration.<\/p>\n<\/blockquote>\n A user must have completed the setup flow to be vulnerable – the existence of the keeper icon in the start menu alone is not sufficient. If a user has clicked the icon and started using Keeper in the default configuration, they would be vulnerable.<\/p>\n<\/blockquote>\n Kommt mir schon irgendwie als Haarspalterei vor \u2013 meine Lesart: wenn ein Benutzer der Installation der Erweiterung nicht zugestimmt hat, war er nicht verwundbar.<\/p>\n Dazu muss er Skip<\/em> in obigem Dialogfeld anklicken. Gut, kann man zur Kenntnis nehmen und Ormandy hat das nachgetragen. Nun berichtet ZDNet.com hier<\/a>, dass Keeper Security eine Klage gegen Dan Goodin, Security Editor bei Ars Technica eingereicht habe. Begr\u00fcndung: \"false and misleading statements\" (also falsche und irref\u00fchrende Ausf\u00fchrungen).<\/p>\n Konkret gibt die Klageschrift<\/a> an, dass Goodin falsche und irref\u00fchrende Aussagen \u00fcber die Keeper-Software-Anwendung gemacht habe, die darauf hindeuten, dass sie einen 16 Monate alten Fehler hatte, der es Websites erlaubte, Benutzerpassw\u00f6rter zu stehlen. Ich hatte die 16 Monate gelesen, und es so interpretiert, dass sich dies auf den Content Delivery Manager und weniger auf die App bezog. Aktuell gibt der Ars Technica-Artikel an, dass die fehlerhafte App 8 Tage installiert war.<\/p>\n Die Firma Keeper Security macht laut ZDNet.com Verleumdungsanspr\u00fcche geltend und fordert ein Geschworenenverfahren. Die Klage fordert auch die R\u00fccknahme und Entfernung des Artikels und die Gew\u00e4hrung von Schadenersatz an den Keeper. Keeper-Chef Darren Guccione wiederholte die Behauptungen des Unternehmens in einer E-Mail an ZDNet und f\u00fcgte hinzu, dass es \"seine Technologie, seine Marke, seine Teammitglieder und seine Kunden energisch verteidige\".<\/p>\n Muss man sich auf der Zunge zergehen lassen: Die haben einen Fehler gemacht, den zugegeben und behoben. Und nun versucht man die Berichterstattung zu tilgen und die Berichterstatter an die Wand zu klagen \u2013 geht so wohl nur in den USA. Das Echo im Web ist dann auch entsprechend. Matt Suiche, ein Sicherheitsforscher dr\u00fcckt es in diesem Tweet aus:<\/p>\n I agree with @a_greenberg<\/a> – this is bullying and @dangoodin001<\/a> is def in the top 1% knowledgeable journalists. If @keepersecurity<\/a> thinks this will make their software more secure, this will only irreversibly damage their reputation as a security company. https:\/\/t.co\/4Sy6Pr3BdN<\/a><\/p>\n \u2014 Matthieu Suiche (@msuiche) 20. Dezember 2017<\/a><\/p><\/blockquote>\nDas muss man sich mal auf der Zunge zergehen lassen. Vor einigen Tagen wurde \u00f6ffentlich, dass die Passwort-Manager App Keeper unter Windows 10 'irgendwie vorinstalliert' war und eine Sicherheitsl\u00fccke aufwies. Tavis Ormandy, Sicherheitsforscher bei Google, hat den Fehler im Rahmen von Google Project Zero auf chromium.org<\/a> publik gemacht. Dan Goodin hatte auf Grund dieser Informationen diesen Artikel<\/a> ver\u00f6ffentlicht und diesen nach vorliegen neuer Informationen mehrfach aktualisiert \u2013 ein \u00fcbliches Vorgehen. Ich hatte das Thema im Blog-Beitrag Windows 10: Unsicherer Passwort-Manager-App eingeschleust<\/a>, auf Basis der Informationen von Ormandy, behandelt.<\/p>\n
Die Darstellung von Keeper Security<\/h2>\n
Ab hier wird es schmutzig<\/h2>\n
\n
\n
\n
![\"Installations-Dialogfeld](\"https:\/\/i.imgur.com\/3a3gXzG.jpg\"\/ "\\"Installations-Dialogfeld")
(Quelle: Chromium-Seite)<\/p>\n\n