How can this be changed?
Visite Preferências → Segurança → Lembrar logins → Exceções . Remova seu site da lista.
Also how insecure is Firefox's password manager, to my understanding it's unencrypted and all add-ons could in theory access it?
Complementos do Firefox podem acessá-lo independentemente da criptografia. Afinal, o Firefox deve descriptografá-lo para preencher os formulários ... Já vi extensões legítimas fazendo uso dessa capacidade de sincronização ou importação / exportação; O Mozilla Weave (agora chamado Firefox Sync) inicialmente era um addon.
(Embora eu esteja supondo que o WebExtensions será consideravelmente menos poderoso que o atual sistema de extensão do Firefox XPI.)
De qualquer forma, a criptografia é útil apenas para proteger as senhas em repouso (não é possível proteger-se do próprio Firefox) e somente se houver alguma maneira de armazenar com segurança a chave de criptografia master .
Para o último, o Firefox precisaria perguntar você para a senha, ou pedir ao OS para proteger os dados armazenados. Eu acho que evita fazer o último, a fim de manter 'perfis' portáteis entre computadores e sistemas operacionais. (Além disso, se o Firefox pudesse solicitar que o sistema operacional descriptografasse o banco de dados, outros programas poderiam fazer o mesmo.)
Então você fica com apenas duas opções: sem criptografia, ou ativar a Usar senha mestre que criptografa todos os dados com a senha fornecida. (Até onde eu sei, o 3DES-CBC é usado por padrão).