Se chiedi a Mozilla Firefox di ricordare i dettagli di accesso per un sito Web, le credenziali verranno memorizzate nella directory del profilo in Logins.json
.
Invece di memorizzare valori di testo in chiaro, il nome utente e la password saranno crittografati (utilizzando l'API PKCS # 11 implementata in NSS libreria). Tuttavia, la chiave necessaria per decrittografarli viene anche memorizzata nella directory del profilo (in Key3.db
). Pertanto, un utente malintenzionato che acquisisce tale directory sarà ovviamente in grado di estrarre le password memorizzate (ovvero, a meno che il proprietario non abbia impostato una password principale).
Questo mi ha incuriosito: qual è stata la motivazione per crittografare le password in Logins.json
per impostazione predefinita quando la chiave è memorizzata nelle vicinanze? In quale scenario realistico questa decisione progettuale potrebbe complicare un attacco?