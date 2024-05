De maintainer van de Debian-package van wachtwoordmanager KeePassXC heeft alle netwerkfuncties uit deze versie verwijderd, om zo "security complications" te voorkomen. De makers van KeePassXC stellen dat de maintainer dit eenzijdig heeft besloten en zijn niet blij met de beslissing. Gebruikers die de verwijderde functies toch willen moeten gebruikmaken van 'keepassxc-full'. De beslissing zorgt voor honderden reacties op Hacker News.

KeePassXC is een opensourcewachtwoordmanager voor Linux, macOS en Windows. Het is een 'fork' van KeePassX, wat weer een port van wachtwoordmanager KeePass is. De maintainer van de Debian-package van KeePassXC stelt dat zijn versie alleen over minimale functionaliteit beschikt en geen "security complications" zoals netwerkfuncties, SSH-agent, browserplug-in en fdo secret storage.

Via X laat het KeePassXC-ontwikkelteam weten dat het hier om een eenzijdige beslissing gaat en gebruikers die de netwerkfuncties wel willen gebruiken naar 'keepassxc-ful' moeten overstappen als de genoemde aanpassing in de stabiele versie van Debian terechtkomt. Vooralsnog bevinden de aanpassingen van de maintainer zich alleen in de test/onstabiele versie van het besturingssysteem.

Het ontwikkelteam vindt dat de maintainer de uitgeklede versie niet onder dezelfde naam zou moeten aanbieden. De verwijderde opties zijn namelijk opt-in zo stellen ze en staan standaard uitgeschakeld. Ze hadden dan ook liever een oplossing gezien waarbij de aangepaste versie de naam 'keepassxc-minimal' zou krijgen. De maintainer stelt dat de genoemde functies geen plug-ins zijn, maar ingebouwde functionaliteit in de code. De enige veilige optie om het aanvalsoppervlak te verkleinen is dan ook het verwijderen van de code, zo stelt hij.