我正在查看有关如何为 Firefox 设置同步服务的这两个教程:
http://alien.slackbook.org/blog/setting-up-your-own-mozilla-sync-server/
https://wiki.archlinux.org/index.php/Mozilla_Sync_Server
并且注意到两者都没有详细说明将其置于 SSL 之后。在这种情况下 SSL 可能不是必需的,因为数据(书签、密码等)无论如何都是加密的?或者这是否仍会暴露数据交换之前发生的通信,即我的同步服务器凭据?
(旁注,这仅供个人使用,因此无需担心处理大负载等。)
答案1
Mozilla Sync 存储的所有数据均在客户端加密,以防止服务器受到攻击和类似问题。
在旧版本中,Sync 会提示您输入加密密钥(密码);现在,在链接第一个设备时会生成一个随机密钥,可以通过以下方式检索同步 → 管理账户 → 我的恢复密钥。
使用“配对设备”功能(通过输入三个代码)链接设备时,新设备会使用 J-PAKE 直接从旧设备获取密钥(请参阅密钥交换了解详情)。
然而,凭证被转移到纯文本– 根据我的测试,Mozilla Sync 似乎使用 HTTP Basic 身份验证。