use*_*645 7 encryption passwords firefox
Mozilla声称有人可以坐在您的计算机上并在15秒内获取每个站点的密码.我在第一次编写Firefox扩展时学到了我可以访问用户目录中的任何文件(假设它是由用户拥有的).如果密码被解密并写入用户目录中的某个位置,则会话期间可以通过恶意扩展或使用可能访问用户目录的Web代码的站点访问它们.软件安全设备在Firefox中使用什么过程来确保站点密码真的不受此类恶意代码的攻击?
解密硬盘驱动器的密码将是不安全的,因为其他进程可以读取它们.软件安全设备是否将它们解密到用户目录?
如果没有,那么软件安全设备是否仅在ram中对它们进行解密?如果是这样,那么另一个应用程序读取软件安全设备的应用程序空间的可能性是什么?
请描述一下.
描述这个过程不应该是秘密,因为秘密是脆弱性和弱点的表现,而真正安全的方法需要蛮力破解.关于加密过程的开放政策提供了更广泛的受众,这增加了更安全的解决方案的可能性.
我提出来了,因为Mozilla网站上的软件安全设备说明或主密码说明中没有描述,让我想知道我们是否真的使用该功能是安全的.
Wla*_*ant 12
密码存储在signons.sqlite用户配置文件目录中的SQLite数据库中.默认情况下,它们并未真正加密 - 从此文件中提取它们并且"解密"非常简单.为了在这里具有一定的安全性,用户必须定义主密码(在Firefox选项的"安全"选项卡上),这一个将用于加密数据库中的密码.如果已经完成,那么从中提取密码signons.sqlite并非易事,必须猜测主密码.
但Firefox当然需要解密密码才能使用它们.如果某些浏览器代码请求密码(通过nsILoginManager),则会出现主密码提示 - 用户需要输入主密码才能解密密码.解密的密码永远不会写入磁盘,但浏览器(以及任何浏览器扩展)之后将能够访问它们.
Firefox没有做任何事情来防止扩展访问密码,因为它没有意义.防止恶意扩展获取密码的唯一方法是避免首先安装恶意扩展.即使nsILoginManager不在那里,当密码传输时,恶意扩展仍然会嗅到您与网页的通信.或者它可以在被要求输入主密码时收听您键入的内容.或者它可以伪造主密码对话框并直接获取主密码.有很多可能性 - 应用程序不可能击败使用相同权限运行的另一个应用程序.
PS:软件安全设备用于证书,而不是密码 - 完全不相关.但它使用相同的主密码,因此令人困惑的对话框.
| 归档时间: |
|
| 查看次数: |
3149 次 |
| 最近记录: |