4. Ist eigentlich der Firefox Sync Dienst vom Heartbleed Bug ebenfalls betroffen?

Ist eigentlich der Firefox Sync Dienst vom Heartbleed Bug ebenfalls betroffen?

  • ?

    Falls ja, dann müsste ich dort erst Recht mein PW ändern.
    Denn Firefox Sync ist ja praktisch always on, wenn der Browser läuft.

    0
  • ?

    Nein. Die Firefox Sync funktioniert anders. Deine Daten (Passwörter, Lesezeichen, AddOn List, usw.) werden lokal auf deinem Rechner verschlüsselt und als verschlüsselte Datei auf einen Server geladen. Im Gegensatz zu klassischen LoginServices wie Google, Facebook, Online Banking, usw. liegen deinen Daten nicht als Klartext im Arbeitsspeicher des Servers. Auch die Passphrase zur Entschlüsselung deiner verschlüsselten Datei liegt nur lokal auf dem Rechner und wird nicht in das Internet übertragen.

    Was geschieht aber, wenn ich mit einem anderen Rechner eine Sync durchführe?

    Auf deinem lokalen Rechner wird die Passphrase verschlüsselt und als verschlüsselte Datei an den Zielrechner übertragen, welcher die Sync angefordert hat. Hierzu musst du entweder direkt per Passwort (das ist die 12-stellige Kobination) koppeln und dann die verschlüsselte Passphrase öffnen, damit der neue Rechner die Sync durchführen kann. Das erfolgt manuell, damit die Daten nicht durch das Internet gehen.

    Machst du es nicht manuell, musst du zusätzlich den Wiederherstellungsschlüssel kennen. Den musst du händisch abschreiben. Es geht als wieder nichts durch das Internet.

    Nach der Sync kennt neben deinem Hauptrechner auch der gesyncte Rechner die Passphrase für den verschlüsselten Datensatz auf dem Firefox Server. Änderst du was auf einem der Rechner, verschlüsselt dieser den entsprechend neuen Datensatz mit der bekannten aber nur lokal gespeicherten Passphrase und lädt es auf den Firefox Server. Der andere Rechner lädt den Datensatz runter, sobald er online ist und entschlüsselt ihn lokal. Ist also so ähnlich wie bei einer Dropbox.

    Die Risiken für deine Firefox Sync sind also folgende:

    - Auslesen der Passphrase auf den lokalen Rechner durch Schadsoftware, wobei es leichter wäre, alle Daten direkt aus dem Firefox auszulesen 😉
    - knacken der Verschlüsselung für die Sync Daten nach vorherigem Datendiebstahl

    Die OpenSSL Geschichte betrifft jedenfalls nicht die Firefox Sync.

    0
Anmelden zum Antworten