Por lo general, no es seguro en absoluto. Realmente depende de su modelo de amenaza, pero los datos generalmente se guardan:
- sin cifrar,
- cifrado con una contraseña conocida públicamente o
- cifrado con una contraseña maestra dada por el usuario
En Windows (creo que 7 y más) Chrome utiliza una instalación de sistema operativo para el almacenamiento , que vincula el cifrado con el usuario registrado.
En los sistemas Linux, Chrome utiliza gnome-keyring o el equivalente en otros escritorios. El principio es el mismo que en Windows.
Firefox, por otro lado, evita el uso de las instalaciones del sistema operativo y se encarga de la criptografía y el almacenamiento en sí. Si establece una contraseña maestra, un atacante tendrá que aplicar la fuerza bruta para obtener las contraseñas guardadas (*) . Si no establece una contraseña maestra, se le proporcionará una y será la cadena vacía "". No es una contraseña muy buena si me preguntas.
En todos los casos, las contraseñas probablemente sean accesibles para un atacante con ejecución de código en el contexto del usuario actual.
En el caso de Firefox sin una contraseña maestra, las contraseñas también son accesibles para un atacante con acceso al archivo de la base de datos.
Este blog tiene Un análisis más profundo de los problemas.
(*) Como se señaló en los comentarios de Mrdeep, Firefox hace un mal trabajo de hashear la contraseña maestra , por lo que es fácil de aplicar por la fuerza bruta.