Firefox Sync e SSL (ou não?)

2

Eu estava vendo esses 2 tutoriais sobre como configurar um serviço de sincronização para o Firefox:

link

link

E notamos como ambos não entraram em detalhes sobre colocá-lo atrás do SSL. O SSL talvez não seja necessário nesse cenário porque os dados (favoritos, senhas, etc.) são criptografados de qualquer maneira? Ou isso ainda exporá a comunicação que ocorre antes da troca de dados, ou seja, minhas credenciais de servidor de sincronização?

(Sidenote, isso é apenas para uso pessoal, por isso não precisa se preocupar em lidar com uma carga grande, etc.)

    
por Dexter 20.02.2012 / 10:59

1 resposta

1

Todos os dados armazenados pelo Mozilla Sync são criptografados no lado do cliente, para proteger contra servidores comprometidos e problemas semelhantes.

Em versões mais antigas, o Sync solicita a chave de criptografia (senha); hoje em dia, uma chave aleatória é gerada ao vincular o primeiro dispositivo e pode ser recuperada por meio de Sincronizar → Gerenciar conta → Minha chave de recuperação .

Ao vincular dispositivos usando a funcionalidade "Pair Device" (inserindo os três códigos), o novo dispositivo obtém a chave diretamente do antigo usando J-PAKE (consulte KeyExchange para detalhes).

No entanto, as credenciais são transferidas em texto simples - o Mozilla Sync parece usar a autenticação básica HTTP, de acordo com meus testes.

    
por 20.02.2012 / 19:04