我记得在某个地方(可能是在 SE 网站上),我读过类似这样的内容:“如果不使用主密钥并且密码是单独存储的,Firefox 会以纯文本形式保存它们(而当使用主密钥时,它也会用于实际加密/解密存储的密码 blob)。
那么,使用 Firefox(假设从 2023 年开始使用 Ubuntu LTS 发行版本)而不使用主密码是否会导致不安全的本地配置,这很容易受到磁盘分析以获取未加密的密码?我的意思是,这是一种很常见的情况,当人们共享一台电脑时,他们有时懒得创建和维护单独的操作系统登录名。
答案1
“单独存储”是什么意思有点不清楚,但 FFox 不会以纯文本形式保存它们。登录数据存储在 中logins.json,加密。
以下是我的一个例子logins.json,没有配置主密钥:
{"id":3,"hostname":"https://www.examplesite.com","httpRealm":null,"formSubmitURL":"https://www.examplesite.com","usernameField":"usernameemail","passwordField":"password","encryptedUsername":"MEIEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECBvOEj0DFigIBBhKSDTP1Z3UDUW/qEShVEOiR5nimB9/Q9U=","encryptedPassword":"MDoEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECChBK6lbakZ/BBA+tCo0X0yExqOM+J53H1Zy","guid":"{749d06f4-4280-44ba-a366-2f2509e8dc0a}","encType":1,"timeCreated":1630176396074,"timeLastUsed":1678223464142,"timePasswordChanged":1630176396074,"timesUsed":2}
如果系统有多个用户,则登录数据将存储在每个用户的个人资料中。