Mozilla afirma que alguien puede sentarse en su computadora y obtener sus contraseñas para cada sitio en 15 segundos. Aprendí al escribir una extensión de Firefox por primera vez que podía acceder a cualquier archivo en un directorio de usuarios (dado que era propiedad del usuario). Si las contraseñas se descifran y escriben en algún lugar del directorio de usuarios, se puede acceder a ellas durante una sesión mediante una extensión o sitio malicioso que utiliza un código web que puede acceder a un directorio de usuarios. ¿Cuál es el proceso que el Dispositivo de Seguridad de Software usa en Firefox que asegura que las contraseñas del sitio son realmente seguras contra dicho código malicioso?¿Cómo protege el dispositivo de seguridad de software de Firefox las contraseñas?
Desencriptar las contraseñas en el disco duro sería inseguro porque otros procesos podrían leerlas. ¿El dispositivo de seguridad del software los descifra en el directorio de usuarios?
Si no es así, ¿el dispositivo de seguridad del software los descifra solo en ram? Si es así, ¿cuáles son las posibilidades de que otra aplicación lea el espacio de la aplicación del Dispositivo de seguridad del software?
Por favor, describa.
Describir el proceso no debe ser un secreto, porque los secretos son una indicación de vulnerabilidad y debilidad, en cambio un verdadero método seguro requiere la fuerza bruta para romperse. Una política abierta sobre el proceso de encriptación brinda una audiencia más amplia, lo que aumenta el potencial de soluciones más seguras.
Traigo esto a colación, porque no se describe en la explicación del Dispositivo de Seguridad de Software ni en la explicación de Contraseña Maestra en el sitio de Mozilla, lo que me hace preguntar si realmente estamos seguros usando esa característica.
Excelente respuesta –
Sería bueno ver esta explicación en Mozilla. Un diagrama sería útil también. Gracias. Esto trajo algo de luz al tema. – user1213645
El foco principal parece ser la protección de acceso físico. Obviamente mejor que no tener protección. No creo que debamos cancelar más protecciones.Firefox podría ser más fuerte con otras consideraciones y lluvia de ideas. Si una persona accedió a dar su contraseña maestra cada vez que navegaba a una página que solicitaba su contraseña, esto ayudaría a evitar que las extensiones y otras solicitudes en línea tengan acceso irrestricto a todas las contraseñas. Un poco más de esfuerzo por parte del usuario, pero sigue siendo una ventaja porque teclean una contraseña para todas las cuentas. – user1213645