In che modo la sincronizzazione di Firefox mantiene i dati dell'utente al sicuro anche quando TLS fallisce

Firefox, Mozilla Account Firefox, Mozilla Account Ultima modifica: 5 giorni, 5 ore ago

Con così tante notizie sulla fuga di dati che si leggono in questi giorni, ci si potrebbe chiedere se i propri dati sincronizzati con Firefox sono al sicuro. Non ci si deve preoccupare perché la sincronizzazione di Firefox ("Firefox Sync") contiene ulteriori livelli di sicurezza.

Come funziona la sincronizzazione

  • La sincronizzazione di Firefox garantisce che i propri dati vengano crittati prima che lascino il proprio dispositivo e che la password per sbloccare questa crittografia non venga mai trasmessa al server. Questo viene fatto applicando un po' di "hashing" crittografico alla password del proprio account Mozilla (precedentemente noto come "account Firefox") per rafforzarla quando la si inserisce e ricavando le chiavi di autenticazione e crittografia.
  • La chiave di autenticazione viene trasmessa al server per dimostrare che si è i proprietari dell'account. Se il protocollo crittografico Transport Layer Security (TLS) fallisce, ciò potrebbe causare la perdita della chiave di autenticazione e qualcuno che intercetta quella chiave potrebbe utilizzarla per autenticarsi nell'account dell'utente. Tuttavia, anche se questa chiave viene intercettata, non può essere utilizzata per accedere ai dati della sincronizzazione di Firefox poiché la chiave di crittografia viene utilizzata per crittare i dati prima che lascino il dispositivo. Questa chiave non viene mai trasmessa al server, quindi non può essere divulgata se il protocollo crittografico TLS dovesse fallire.
  • Firefox Sync utilizza la password dell'account per creare un ulteriore livello di sicurezza e crittografia oltre a quanto fornito da TLS. Pertanto, Mozilla oltre a non fare completamente affidamento sulla riservatezza di TLS per mantenere i dati dell'utente al sicuro, non ha nemmeno la possibilità di accedere ai dati dell'utente sincronizzati tramite Firefox Sync. Per dettagli tecnici (in inglese) sul funzionamento dell'intero processo, leggere Private by Design: How we built Firefox Sync sul sito Mozilla Hacks.

Più "robusta" è la propria password, maggiore è la protezione che questo schema può offrire. Ecco perché è importante scegliere una password sicura per il proprio account Mozilla.

È stato utile questo articolo?

Attendere…

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni