Seguridad en las contraseñas almacenadas por Firefox, contra complementos

Navega tus respuestas
0

Me pregunto qué tan seguras son mis contraseñas almacenadas en el administrador de contraseñas integrado en Mozilla Firefox. Actualmente estoy usando Firefox Quantum 59.0.2 de 64 bits en Ubuntu 16.04 en una máquina. Supongo que las razones para preocuparse pueden ser diversas, por ejemplo:

  1. Complementos.
  2. Otro software que tiene acceso al sistema de archivos.
  3. ¿Otros?

Mi enfoque ahora está en el elemento 1, y supongo que aquí es irrelevante qué sistema operativo estoy usando, pero solo la versión de FF ( ¿es correcto? ).

En cuanto a los complementos, esta antigua respuesta aporta una alerta roja. Las cosas pueden haber cambiado desde entonces (aunque me parece que no lo hicieron, en cuanto a esa respuesta). Esto también es preocupante.

Mis preguntas son:

  1. ¿Cuáles son los posibles mecanismos que un complemento puede tener para: a) leer, b) eliminar mis contraseñas?
  2. ¿Cuáles son las formas más fáciles para asegurarse (o en contra de la falta de eso, confiando arbitrariamente en algo) que no está sucediendo, en cada caso? Hago hincapié en más fácil ya que, supongo, una respuesta extrema como "convertirse en un especialista en seguridad y desarrollo de código, y leer el código del complemento" siempre es válido ... Quiero aplicar soluciones lo más fácil posible.
  3. ¿Por qué no sería posible tener el mismo nivel de seguridad con FF que con Keepass (por ejemplo), si se utilizara el mismo algoritmo de cifrado? (en Security en las contraseñas almacenadas por Firefox vs password manager Le pregunto acerca de una comparación de algoritmos, que es un tema aparte).

Información relacionada, que no encontré responde a la pregunta:

¿Los complementos de Firefox tienen acceso completo a las contraseñas, etc.?

    
pregunta sancho.s 23.04.2018 - 06:17
fuente

1 respuesta

1
  1. No puede leerlos directamente desde el administrador. Sin embargo, puede obtenerlo indirectamente, por ejemplo, modificar los sitios web en los que inicia sesión, si tiene permiso para modificar sitios web. Esto le permite, por ejemplo, modificar el formulario para enviar la contraseña tp en lugar de enviarla al sitio legítimo.
  2. No tener complementos que no necesites. Utilice complementos ampliamente utilizados. Compruebe que las combinaciones de complementos tienen sentido. Utilice código abierto si es posible.
  3. Si desactivas la sincronización, es posible, aunque kee pass tiene habilidades adicionales como permitir / denegar la función de autocompletar caso por caso, que FF probablemente nunca tendrá. Pero este es un punto un tanto discutible ya que FF no está enfocado en la seguridad en la medida en que sea equivalente a KeePass

PS: el punto 1 supone que el sandboxing de FF funciona y no tiene vulnerabilidades, lo que probablemente no sea cierto.

    
respondido por el Peter Harmann 23.04.2018 - 08:15
fuente

Lea otras preguntas en las etiquetas

Inyectando javascript en una alerta ¿Cómo puedo enumerar todos los puntos finales de una API?