Firefox'un Yazılım Güvenlik Cihazı Parolaları Nasıl Korur?

Question

Mozilla, birisinin bilgisayarınıza oturabileceğini ve her bir site için şifrelerinizi 15 saniyede alabileceğini iddia ediyor. Bir kullanıcı dizinindeki herhangi bir dosyaya erişebilmem için ilk defa bir Firefox eklentisi yazarken öğrendim (kullanıcının sahip olduğu göz önüne alındığında). Parolalar şifresi çözülür ve kullanıcı dizininde bir yere yazılırsa, oturum sırasında bir kullanıcı dizinine erişebilen web kodu kullanan kötü amaçlı bir uzantı veya site tarafından erişilebilir. Yazılım Güvenlik Aygıtının Firefox'ta kullandığı ve site parolalarının bu gibi zararlı kodlardan gerçekten güvenli olmasını sağlayan işlem nedir?

Şifrelerin sabit diske şifresini çözmesi, diğer işlemler tarafından okunabileceğinden güvensiz olurdu. Yazılım Güvenlik Cihazı bunları kullanıcı dizinine mi çözüyor?

Değilse, Yazılım Güvenlik Aygıtı bunları yalnızca ram olarak çözer mi? Öyleyse, Yazılım Güvenlik Aygıtının uygulama alanını okuyan başka bir uygulamanın olanakları nelerdir?

Lütfen açıklayınız.

Sürecin tanımlanması bir sır değildir, çünkü sırlar güvenlik açığının ve zayıflığın bir göstergesidir, bunun yerine gerçek bir güvenli yöntem kırılma için kaba kuvvet gerektirir. Şifreleme işlemiyle ilgili açık bir politika, daha güvenli çözümlerin potansiyelini arttıran daha geniş bir kitle sağlar.

Bunu hazırlarım, çünkü Mozilla sitesinde bulunan Yazılım Güvenlik Aygıtı açıklamasında veya Ana Parola açıklamalarında açıklanmadığından, bu özelliği kullanırken gerçekten güvenli olup olmadığımızı düşünmüyorum.

Answer 1

Parolalar, kullanıcının profil dizinindeki SQLite veritabanı signons.sqlite'da depolanır. Varsayılan olarak, gerçekten şifreli değiller - onları bu dosyadan ayıklar ve "şifresini çözme" önemsizdir. Burada biraz güvenlik olması için kullanıcının bir ana şifre tanımlaması gerekiyor (Firefox seçeneklerinin Güvenlik sekmesinde), bu şifrelerin veritabanında şifrelenmesi için kullanılacaktır. Bu yapıldıysa, şifrelerin signons.sqlite'dan çıkarılması önemsizdir, ana parolayı tahmin etmek gerekir.

Ancak Firefox'un bunları kullanmak için şifreleri deşifre etmesi gerekiyor. Bazı tarayıcı kodları şifre isterse (nsILoginManager aracılığıyla) bir ana şifre istemi görünür - kullanıcının şifrelerini şifresini çözmek için ana şifreyi girmesi gerekir. Şifresi çözülmüş şifreler asla diske yazılmaz, ancak tarayıcı (ve herhangi bir tarayıcı uzantısı) bundan sonra bunlara erişebilir.

Firefox, uzantıların parolalara erişmesini önlemek için hiçbir şey yapmaz, çünkü bu anlamsız olur. Kötü niyetli bir uzantının şifrelerinize ulaşmasını önlemenin tek yolu, öncelikle kötü amaçlı bir uzantı yüklemekten kaçınmaktır. Orada nsILoginManager olmasa bile, parola iletildiğinde kötü niyetli bir uzantı, web sayfasıyla iletişiminizi hala bozabilir. Ya da ana parola sorulduğunda yazdığınız şeyi dinleyebilir. Ya da bir ana şifre iletişim kutusu açabilir ve doğrudan ana şifreyi alabilir. Bir sürü olasılık var - bir uygulama, aynı ayrıcalıklarla çalışan başka bir uygulamayı yenemez.

Not: Yazılım Güvenlik Aygıtı parola değil, sertifikalarla ilgilidir - tamamen ilgisiz. Fakat aynı ana şifreyi kullanır, bu nedenle kafa karıştırıcı diyalog.