Perché Mozilla Firefox crittografa le password salvate?

8

Se chiedi a Mozilla Firefox di ricordare i dettagli di accesso per un sito Web, le credenziali verranno memorizzate nella directory del profilo in Logins.json .

Invece di memorizzare valori di testo in chiaro, il nome utente e la password saranno crittografati (utilizzando l'API PKCS # 11 implementata in NSS libreria). Tuttavia, la chiave necessaria per decrittografarli viene anche memorizzata nella directory del profilo (in Key3.db ). Pertanto, un utente malintenzionato che acquisisce tale directory sarà ovviamente in grado di estrarre le password memorizzate (ovvero, a meno che il proprietario non abbia impostato una password principale).

Questo mi ha incuriosito: qual è stata la motivazione per crittografare le password in Logins.json per impostazione predefinita quando la chiave è memorizzata nelle vicinanze? In quale scenario realistico questa decisione progettuale potrebbe complicare un attacco?

    
posta Arminius 29.05.2016 - 23:26
fonte

2 risposte

5

Probabilmente è per semplificare l'implementazione. Piuttosto che avere due casi in cui l'archivio chiavi può essere crittografato o meno a seconda che sia impostata la Master Password, il codice viene sempre crittografato.

Questo riduce la probabilità che un percorso di codice che dimentica di crittografare quando Master Password è abilitata passa inosservato.

    
risposta data 31.05.2016 - 17:05
fonte
3

Direi che la ragione è di confondere le password memorizzate e che la funzione "ricorda le password dei siti Web" in Firefox dovrebbe essere sempre utilizzata con una chiave master.

    
risposta data 30.05.2016 - 13:37
fonte

Leggi altre domande sui tag