Firefox: mentett jelszavak szinkronizálása

 ( xian | 2014. július 28., hétfő - 21:06 )

Érdekesnek találtam ezt: https://support.mozilla.org/en-US/kb/why-cant-i-sync-my-passwords

Szóval ha jelszóval véded a jelszavaid, akkor a Mozilla nem kíváncsi rájuk. Aha.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez most mi? Célzás valamire? Félelem az ismeretlentől? Hangulatkeltés? Vagy van valami konkrét probléma?

Csak annyi a gond, hogy nem menti így a jelszavaimat. Pedig jó lett volna.

Az a baj, hogy nem is nagyon pörögnek rajta hogy megcsinálják.

https://bugzilla.mozilla.org/show_bug.cgi?id=995268

"Assigned To: Nobody; OK to take it and work on it"

Amit írsz nettó hülyeség.
Az igazság belőle:
A fejlesztők nem tartják annyira értékesnek a master password intézményét, hogy olyan sync protokollt fejlesszenek amely a MP-vel védett jelszóadatbázist is tudja szinkronizálni.
Ami szintén igaz:
- Használhatsz saját sync szolgáltatót.
- Továbbra is használhatod a régi sync protocolt (míg van) aminek a szerverét szintén nem kell a mozillánál tartanod és szinkronizálja a titkosított jelszavas adatbázist is.
Azaz a mozilla nem kíváncsi a jelszavadra, csak _sajnos_ máshogy értékeli a biztonsági és a fejlesztési kérdéseket mint a felhasználó.

Ha fontos a biztonsag, akkor miert szinkronizalod a jelszavakat?
Akar "master pass"-al akar anelkul.

Érzékeny jelszót nem mentek. Persze akkor lehet kérdezni, hogy minek a master pass. Én a többit se akarom, hogy más használja, ezért van master pass. Tudom, hogy törhető stb. de legalább ad némi biztonság illúziót. Inkább csak furcsállom, hogy az (új) szinkronizálás és a master pass kizárják egymást. Technikailag nem hiszem, hogy megoldhatatlan lenne. Jocó lejjebb leírja a részleteket.

Ezt én is követem, a kedvencem a 85-ös komment: https://bugzilla.mozilla.org/show_bug.cgi?id=995268#c85

Egyszerűen bénázásnak tűnik, technikai akadálya igazából nincs, csak simán nem csinálták meg, de majd meg fogják állítólag.

Szerintem simán lehetne a titkosított jelszavas állományt szinkronizálni (akár jelszavanként külön, nem csak egyben), és a többi device-on ugyanavval a mesterjelszóval nyitni, de nem ezt akarják, hanem a kinyitott jelszavakat a sync titkosításával továbbítani, hogy máshol más mesterjelszó lehessen. Azt azért mindenképpen elhiszem, hogy a Mozilla maga nem látja a jelszavakat.

Hogy a mesterjelszó gyenge, az meg egy másik hiba, használjanak jobb KDF algoritmust, de ne dobják már ki, valami ellen mégiscsak véd (egyébként én is használok FDE-t).

Egyébként érdekes egy állat ez a sync, úgy látom, hogy sűrűn változik, és csomó egymásnak ellent mondó doksi kering róla a neten... Pl. csomó helyen írják, hogy a syncnek van recovery kulcsa, de szerintem (már) nincs. Az is gáz, hogy a sync jelszavát nem menti el a jelszókezelő (hogy pl. el tudjam olvasni, és másik device-on beírni, mert megjegyezni nem fogom), de azt belehekkeltem.

--

Hát igen, majdnem elvesztettem a bookmarkjaimat az új változtatás miatt. Nyugodtan újrahúztam a gépem, mondván ott a sync-ben megvan minden. Aztán az új FF már nem tud a régi sync-hez csatlakozni :(
Egy másik gépen volt régebbi FF, azzal végül tudtam (recovery key-jel) sync-elni, így meglettek a bookmarkok. Aztán upgrade-eltem rajta a FF-ot és regeltem az új sync-re, majd visszatoltam a bookmarkokat. Pff. Legközelebb exportálom a bookmarkjaimat.

Közben észrevettem ezt az password mizériát is, innen a témaindító kérdés.