Firefox Sync y SSL (¿o no?)

2

Estaba mirando estos 2 tutoriales sobre cómo configurar un servicio de sincronización para Firefox:

http://alien.slackbook.org/blog/setting-up-your-own-mozilla-sync-server/

https://wiki.archlinux.org/index.php/Mozilla_Sync_Server

Y noté cómo ambos no entraron en detalles sobre cómo ponerlo detrás de SSL. ¿Es posible que SSL no sea necesario en este escenario porque los datos (marcadores, contraseñas, etc.) están encriptados de todos modos? ¿O esto todavía expondrá la comunicación que tiene lugar antes del intercambio de datos, es decir, mis credenciales del servidor de sincronización?

(Nota importante, esto es solo para uso personal, por lo que no debe preocuparse por manejar una carga grande, etc.)

Diestro
fuente
publicado en una ubicación incorrecta, debe estar en el sitio de superusuario ...
Cold T

Respuestas:

1

Todos los datos almacenados por Mozilla Sync están encriptados del lado del cliente, para proteger contra servidores comprometidos y problemas similares.

En versiones anteriores, Sync le pedirá la clave de cifrado (frase de contraseña); hoy en día se genera una clave aleatoria al vincular el primer dispositivo, y se puede recuperar a través de Sincronización → Administrar cuenta → Mi clave de recuperación .

Al vincular dispositivos utilizando la funcionalidad "Emparejar dispositivo" (ingresando los tres códigos), el nuevo dispositivo obtiene la clave directamente del anterior utilizando J-PAKE (consulte KeyExchange para obtener más detalles).

Sin embargo, las credenciales se transfieren en texto plano : Mozilla Sync parece usar la autenticación básica HTTP, según mis pruebas.

Gravedad
fuente