Re: firefox 29 : nouveau sync

Top Page

Reply to this message
Author: johann
Date:  
To: guilde
Subject: Re: firefox 29 : nouveau sync
Le 07/05/2014 12:04, Fernando a écrit :
> Le 05/05/2014 19:08, johann a écrit :
>> […]
>> Je viens de faire un update et je découvre Firefox 29.
>>
>> A mon grand étonnement, le nouveau sync refuse de synchroniser les mots
>> de passes si un master password est défini.
>>
>> Or il me semblait que si aucun master password n'est défini, les mots de
>> passes étaient stockés en clair sur le disque (et donc vulnérables à un
>> malware).
>> Peut-être n'est-ce plus le cas ?
>>
>> Je ne trouve pas d'info fiable et ce commentaire n'est pas de nature à
>> me rassurer :
>> http://news.slashdot.org/comments.pl?sid=5097997&cid=46874533
>> […]
> Sur les mots de passe en général:
> Personnellement, je ne pense pas que mettre ses mots de passe chez un fournisseur (sympathisant du libre ou pas) soit quelque chose à faire.
>
> Le FRench SysAdmins Group (FRsAG) a eu plusieurs discussions sur la gestion des mots de passe, la dernière en date commence sur <http://frsag.org/pipermail/frsag/2014-March/004831.html>.
> J'en ai conclu que… du fichier GPG à l'application web (interne) en passant par les trousseaux KeepassX partagés (ou pas)… cela dépend des utilisateurs. ^_^
>
>
> Pour revenir sur les mots de passe sauvegardés dans le navigateur, je préfère qu'ils restent en local sur ma machine plutôt que d'être envoyés je ne sais pas trop.
> Mais cela peut devenir fastidieux de taper différents mots de passes sécurisés[1] plusieurs fois par jour, surtout quand on a plusieurs ordinateurs (typiquement: au boulot, à la maison et un portable). C'est là, àmha, que l'on trouve l'origine de la solution proposée par Mozilla.
>
> Et Mozilla est bien sympathique: cette structure publie (une partie de?) son code et permet d'héberger son propre serveur Sync. <https://docs.services.mozilla.com/howtos/run-sync-1.5.html> :)
> Notez que j'ai pas testé cette version (j'attends encore que les postes autour de moi aient tous Firefox 29), mais la version précédente fonctionne bien <https://docs.services.mozilla.com/howtos/run-sync.html#howto-run-sync11> (et est compatible Firefox 29).
>
>
> [1] Pour avoir des mots de passe sécurisés et mémorisables, j'utilise <http://www.slis.fr/mot-de-passe>. Et vous ?


Salut,

Bien sûr, les mots de passes je juge critique sont enregistrés dans un
coffre-fort numérique (gorilla password) chiffré et synchronisé entre
mes différentes machines.

Mais pour des raisons pratiques, je mémorise et synchronise les mots de
passes non critiques dans le navigateur.

L'ancien sync (v1.1) me convenait bien mais par curiosité (vilain défaut
!) j'ai voulu tester la nouvelle version (v1.5).
J'ai découvert trop tard cette incompatibilité avec le master password.

Je ne voulais pas croire que mozilla ait pu faire ça sans chiffrer la
base locale mais apparemment si :
https://bugzilla.mozilla.org/show_bug.cgi?id=995268
Ils recommandent de chiffrer le filesystem (c'est le cas chez moi) mais
ça ne protège pas contre un malware ou une intrusion.

Comment font les autres navigateurs, la base des mots de passes
mémorisés est-elle stockée en clair ?

Johann

PS : au passage je suis tombé sur cette page qui donne matière à réflexion :
http://www.troyhunt.com/2011/03/only-secure-password-is-one-you-cant.html