Mozilla afferma che qualcuno può sedersi al computer e ottenere le password per ogni sito in 15 secondi. Ho imparato mentre scrivevo un'estensione per Firefox per la prima volta che potevo accedere a qualsiasi file in una directory degli utenti (dato che era di proprietà dell'utente). Se le password vengono decodificate e scritte da qualche parte nella directory degli utenti, sono accessibili durante una sessione da un'estensione malevola o da un sito che utilizza un codice Web che può accedere a una directory degli utenti. Qual è il processo utilizzato da Software Security Device in Firefox per garantire che le password dei siti siano effettivamente al sicuro da tale codice dannoso?In che modo il dispositivo di sicurezza software di Firefox protegge le password?
Decifrare le password sul disco rigido non sarebbe sicuro perché altri processi potrebbero leggerle. Il dispositivo di sicurezza del software li decodifica nella directory degli utenti?
In caso contrario, il dispositivo di sicurezza software decrittografa solo in ram? In tal caso, quali sono le possibilità di un'altra applicazione che legge lo spazio applicativo del Dispositivo di sicurezza del software?
Descrivere.
Descrivere il processo non dovrebbe essere un segreto, perché i segreti sono un'indicazione di vulnerabilità e debolezza, invece un vero metodo sicuro richiede la rottura della forza bruta. Una politica aperta sul processo di crittografia offre un pubblico più ampio, che aumenta il potenziale per soluzioni più sicure.
L'ho presentato, perché non è descritto nella spiegazione del dispositivo di sicurezza del software o nella spiegazione della password master sul sito Mozilla, lasciandomi la domanda se siamo davvero sicuri utilizzando tale funzione.
Risposta eccellente –
Sarebbe bello vedere questa spiegazione su Mozilla. Un diagramma sarebbe utile anche. Grazie. Questo ha portato un po 'di luce sull'argomento. – user1213645
L'obiettivo principale sembra essere la protezione dell'accesso fisico. Ovviamente meglio che non avere alcuna protezione. Non penso che dovremmo cancellare più protezioni.Firefox potrebbe essere più forte con altre considerazioni e brainstorming. Se una persona acconsentiva a fornire la propria password principale ogni volta che navigavano verso una pagina che chiedeva la propria password, ciò aiuterebbe a prevenire le estensioni e altre richieste online di avere accesso illimitato a tutte le password. Un po 'più di sforzo da parte dell'utente, ma comunque una comodità perché digitano una password per tutti gli account. – user1213645