...ale předpokládá kompletní ovládnutí PC.

Ani netreba kompletne ovladnutie, staci ak si odskocis na toaletu a kolega ti zmeni konfig. Potom uz len pocka kym sa prihlasis a cela databaza s heslami sa vyexportuje. Nemusi sa trapit so ziadnym rootkitom ani keylogerom ani kompilovat zo zdrojakov cinknuty Keepass a riskovat, ze to niekto spozoruje.

Pripadne ak mas Keepass na usb kluci, strcis ho do cudzieho PC a nejaka skodna v cudzom PC ti ten konfig prepise. Ani vobec nemusis spustit Keepass na tom cudzom PC. Nasledne doma na bezpecnom PC sa prihlasis do Keypass a databaza sa ti vyexportuje na kluci do nejakeho existujuceho adresara, ktory si bezne nevsimnes. Pri buducom vlozeni do toho cudzieho PC si len skodna skopiruje vysledok.

Nehovoriac o tom, ze v podnikovom prostredi ma admin moznost zmenit ten konfig prakticky nepozorovane (= neriskuje ziadne odhalenie)

Takze v bezpeci si len na vlastnom PC, ktore mas pod plnou kontrolou. Ten utok je tak lahko vykonatelny, ze uz teraz je na tom odkaze, co som daval hore, zverejneny link na hotove skripty zneuzivajuce tuto "feature".