Sicurezza sulle password memorizzate da Firefox, contro i componenti aggiuntivi

Naviga le tue risposte
0

Mi chiedo quanto siano sicure le mie password memorizzate nel gestore di password incorporato in Mozilla Firefox. Attualmente sto usando Firefox Quantum 59.0.2 64-bit sotto Ubuntu 16.04 in una sola macchina. Immagino che i motivi per cui preoccuparsi possano essere diversi, ad esempio:

  1. Add-ons.
  2. Altri software con accesso al filesystem.
  3. Altro?

Ora il mio focus è sull'articolo 1, e immagino qui sia irrilevante quale sistema operativo sto usando, ma solo la versione di FF ( è corretto? ).

Per quanto riguarda i componenti aggiuntivi, questa vecchia risposta produce una sorta di allarme rosso. Le cose potrebbero essere cambiate da allora (anche se mi sembra che non lo abbiano fatto, come per quella risposta). Questo è anche preoccupante.

Le mie domande sono:

  1. Quali sono i possibili meccanismi che un componente aggiuntivo può avere: a) leggere, b) estrarre le mie password?
  2. Quali sono i più semplici modi per essere sicuri (o contro la mancanza di ciò, in qualche modo fiducioso in qualche modo) che non sta accadendo, in ogni caso? Sottolineo più facile poiché, immagino, una risposta estrema come "diventare uno specialista in sicurezza e sviluppo del codice e leggere il codice aggiuntivo" è sempre valida ... Intendo applicare le soluzioni nel modo più semplice possibile.
  3. Perché non sarebbe possibile avere lo stesso livello di sicurezza con FF come con Keepass (ad esempio), se fosse stato utilizzato lo stesso algoritmo di crittografia? (in Sicurezza sulle password memorizzate da Firefox vs password manager Chiedo un confronto degli algoritmi, che è un problema separato).

Informazioni correlate, che non ho trovato risponde alla domanda:

I componenti aggiuntivi di Firefox hanno pieno accesso alle password ecc.

    
posta sancho.s 23.04.2018 - 06:17
fonte

1 risposta

1
  1. Non può leggerli direttamente dal gestore. Può tuttavia ottenerlo indirettamente, ad esempio modificare i siti Web in cui si effettua l'accesso, se dispone dell'autorizzazione per modificare i siti Web. Ciò gli consente, ad esempio, di modificare il modulo per inviare la password a tp anziché inviarlo al sito legittimo.
  2. Non disporre di componenti aggiuntivi che non ti servono. Usa i componenti aggiuntivi più utilizzati. Verifica che la permussione dei componenti aggiuntivi abbia senso. Usa l'open source se possibile.
  3. Se disabiliti la sincronizzazione, è possibile, sebbene kee pass abbia capacità aggiuntive come consentire / annullare l'autofill, caso per caso, che FF probabilmente non avrà mai. Ma questo è un po 'discutibile dato che FF non è focalizzato sulla sicurezza al punto da renderlo equivalente a KeePass

PS: il punto 1 presume che il sandboxing di FF funzioni e non ha vulnerabilità, il che probabilmente non è vero.

    
risposta data 23.04.2018 - 08:15
fonte

Leggi altre domande sui tag

Come posso enumerare tutti gli endpoint di un'API? Qual è lo schema più debole in uso comune per l'hashing della password?