Thiết bị bảo mật phần mềm của Firefox bảo vệ mật khẩu bằng cách nào?

Question

Mozilla tuyên bố ai đó có thể ngồi ở máy tính của bạn và nhận mật khẩu của bạn cho mỗi trang web trong 15 giây. Tôi đã học được trong khi viết một phần mở rộng Firefox lần đầu tiên mà tôi có thể truy cập bất kỳ tập tin nào trong một thư mục người dùng (do nó được sở hữu bởi người dùng). Nếu mật khẩu được giải mã và được viết ở đâu đó trong thư mục người dùng, thì chúng có thể truy cập được trong phiên của một tiện ích hoặc trang web độc hại sử dụng mã web có thể truy cập thư mục người dùng. Quy trình mà Thiết bị bảo mật phần mềm sử dụng trong Firefox đảm bảo mật khẩu trang web thực sự an toàn từ mã độc hại đó là gì?

Giải mã mật khẩu vào ổ cứng sẽ không an toàn vì các quy trình khác có thể đọc chúng. Thiết bị bảo mật phần mềm có giải mã chúng vào thư mục người dùng không?

Nếu không, thì Thiết bị bảo mật phần mềm có giải mã chúng chỉ trong ram không? Nếu có, thì khả năng của ứng dụng khác sẽ đọc được không gian ứng dụng của Thiết bị bảo mật phần mềm là gì?

Vui lòng mô tả.

Mô tả quy trình không phải là một bí mật, bởi vì bí mật là dấu hiệu của tính dễ bị tổn thương và yếu kém, thay vào đó, phương pháp bảo mật thực sự yêu cầu sức mạnh vũ phu để phá vỡ. Chính sách mở về quy trình mã hóa mang lại cho đối tượng rộng hơn, điều này làm tăng tiềm năng cho các giải pháp an toàn hơn.

Tôi đưa nó lên, bởi vì nó không được mô tả trong phần giải thích về thiết bị bảo mật phần mềm hoặc giải thích mật khẩu chính trên trang web Mozilla, để tôi tự hỏi liệu chúng tôi có thực sự an toàn khi sử dụng tính năng đó hay không.

Answer 1

Mật khẩu được lưu trữ trong cơ sở dữ liệu SQLite signons.sqlite trong thư mục hồ sơ của người dùng. Theo mặc định, chúng không thực sự được mã hóa - giải nén chúng từ tệp này và "giải mã" là tầm thường. Để có một số bảo mật ở đây người dùng phải xác định một mật khẩu chủ (trên tab Security của các tùy chọn Firefox), cái này sẽ được sử dụng để mã hóa mật khẩu trong cơ sở dữ liệu. Nếu điều đó đã được thực hiện thì việc trích xuất mật khẩu từ signons.sqlite là không nhỏ, người ta phải đoán mật khẩu chủ.

Nhưng Firefox cần giải mã mật khẩu để sử dụng chúng tất nhiên. Nếu một số mã trình duyệt yêu cầu mật khẩu (thông qua nsILoginManager) một lời nhắc mật khẩu chính xuất hiện - người dùng cần nhập mật khẩu chính để cho phép giải mã mật khẩu của mình. Các mật khẩu đã được giải mã không bao giờ được ghi vào đĩa nhưng trình duyệt (và mọi tiện ích mở rộng của trình duyệt) sẽ có thể truy cập chúng sau đó.

Firefox không làm bất cứ điều gì để ngăn các tiện ích mở rộng truy cập mật khẩu vì nó sẽ là vô nghĩa. Cách duy nhất để ngăn chặn tiện ích độc hại xâm nhập vào mật khẩu của bạn là tránh cài đặt tiện ích mở rộng độc hại ngay từ đầu. Ngay cả khi không có nsILoginManager, tiện ích mở rộng độc hại vẫn có thể phát hiện ra thông tin liên lạc của bạn với trang web khi mật khẩu được truyền đi. Hoặc nó có thể lắng nghe những gì bạn gõ khi được yêu cầu mật khẩu chủ. Hoặc nó có thể giả mạo một hộp thoại mật khẩu chủ và nhận được mật khẩu chủ trực tiếp. Có rất nhiều khả năng - một ứng dụng không thể đánh bại một ứng dụng khác đang chạy với cùng các đặc quyền.

PS: Thiết bị bảo mật phần mềm dành cho chứng chỉ chứ không phải mật khẩu - hoàn toàn không liên quan. Nhưng nó sử dụng cùng một mật khẩu chủ, do đó hộp thoại khó hiểu.