阅读:5148回复:16
新旧 Firefox Sync 的比较:为何要使用新的 Firefox Sync
Firefox 29.0 开始,Mozilla 使用了全新的基于 Firefox 账号的同步方式,抛弃了原有的基于恢复密钥的同步方式,新的同步方式显著特点是易用性增加,无需恢复密钥,只需要利用邮箱注册一个 firefox 账号即可登录。当然有朋友认为新的同步方式更有可能将隐私暴露在 Mozilla 基金会之下,我想说在互联网上没有绝对的隐私,比起 Google 等大公司,我更愿意相信 Mozilla 基金会,因为它是推动互联网隐私完善的先锋力量,甚至为此与 NSA 较量,并且 Mozilla 原来的同步方式非常严密和安全。
旧的 Firefox Sync 介绍 : Firefox Sync 1.0 是从 Firefox 4 开始的时候正式推出的,实现同步最关键的东西就是那个恢复密钥(recovery key)。这个恢复密钥具有唯一性,同步时候加密和解密数据就靠它了,而 Mozilla 也最大程度保证密钥的安全,也就是这个 key 是本地生成,没有上传到 Mozilla 服务器,也就是说只有你自己知道这个 key,谁都无法知道。而移动设备的同步必须要有一个配对(pair)的过程,就是要输入一个12位字符的配对码。这个配对码也是通过 key 生成的。 也就是说,旧的 Firefox sync 同步的原理就是通过这个本地生成的 key 来实现的,只有你自己知道这个 key,才能实现不同设备之间同步。 旧的 Firefox Sync 的缺点: 用过同步的朋友其实也发现了,首先,这个 key 又臭又长,非常难记,你必须额外找个地方保存它,然后在另一台电脑上找回这个 key,如果你忘了或丢了这个 key,那么对不起,你无法实现在其他设备上的同步。其次,在手机上的朋友也知道配对的过程非常复杂,要先在这台电脑上生成配对码,然后到手机上将配对码输入,然后进行一番设置才可以。 也就是说,这个 key 保证了安全性,但牺牲了易用性。 新的 Firefox Sync: 新的 sync 显著变化就是开始使用 Firefox 账号,只需要传统的邮箱地址作为用户名,以及密码,就可以登录了,这不是创新,只是和 google,facebook 等服务登录方式一样而已。 做过加密开发的朋友应该知道,所谓用户名密码背后,其实也是一个生成随机密钥的过程,这个密钥服务器也无法知道,更别提用来解密数据。但呈现形式上这个 key 不是之前那个只有你知道的又臭又长的 key,而是由你的 firefox 帐户密码来体现。 最大好处是即使你的设备丢失,你也可以轻易找回你的数据。 其次就是在不同设备之间同步的方式变得更简单了,无需以前的配对过程。 那安全性何在?其实就是靠你设置的 Firefox 账号密码的强度了,如果你的登录密码越复杂越随机,那安全性就越高。 至于有多安全,看官方的解释吧: Given the importance of your password, we’ve designed Firefox Accounts such that Mozilla’s services never see your password’s clear text. Instead, Firefox first strengthens the password through client-side stretching with PBKDF2, and then derives several purpose-specific keys via HKDF. 这就是官方的解释,为的是消除那些反对的人的疑虑: https://blog.mozilla.org/services/2014/04/30/firefox-syncs-new-security-model/ |
|
|
1楼#
发布于:2014-05-06 20:49
很久没用过火狐的同步,是不是有bug,有时同步一直不成功,弄得weave文件夹好几百兆
|
|
2楼#
发布于:2014-05-06 21:04
换头像了?
|
|
3楼#
发布于:2014-05-07 00:15
换头像了??x2,呵呵,差点没认出来。。。
虽然对我这样的有”网络安全癖“的人来说更愿意使用那个”又臭又长“的25位的key,但还是感谢楼主详尽的介绍。 关于PBKDF2,说一个实例:为了测试同样使用PBKDF2的无线加密wpa/wpa2的安全性,本人做过抓包实验,在字典文件的帮助下,现在周围信号强度足够的几乎所有家用无线路由器的wpa静态密码都不是什么秘密了--有的密码是足够长,且看似“很随机”的(但不幸早已被收录在我找到的那个强大的字典文件中,也许是该用户在某个什么网络账户中使用过同样的密码吧)。基本上4个小时的抓包数据就足以破解一般强度的密码,最短的只用了20分钟,而我使用的仅仅是一台2.4GHz/2GB/80GB HDD的P4和一些广为流传的开源软件工具,参考了几个教程,偶得了一个字典文件而已。 另外同样使用PBKDF2的lastpass这个扩展我也用,但只用来保存随时可以失去的那些帐号密码。。。 美国政府掌握几乎一切加密技术的终极密钥,所以对nsa来说没有不能破解的秘密--德国总理的专用保密手机泄密已经说明了一切。用什么都一样会被“一网打尽”、“无处可逃”--中文这两个词真是神般的贴切。当然,这和mozilla用什么key没关系,对nsa来说都一样。。。 |
|
|
4楼#
发布于:2014-05-07 00:24
应该允许用中文当密码
|
|
|
5楼#
发布于:2014-05-07 09:05
其实我想问个简单的问题,之前用的sync,现在要注册账号,去哪里注册?怎么修改?mozilla完全没说啊
|
|
|
6楼#
发布于:2014-05-07 09:36
ctrl+F5才发现,版主确实换头像了
|
|
7楼#
发布于:2014-05-07 10:21
新旧都碰到过问题
旧,weave下产生G级文件,内存直线上G卡死 新,weave下产生很大的错误文件,CPU 100, 墙啊 不用这个了…… |
|
8楼#
发布于:2014-05-07 17:37
飞雪尔:其实我想问个简单的问题,之前用的sync,现在要注册账号,去哪里注册?怎么修改?mozilla完全没说啊回到原帖https://support.mozilla.org/zh-CN/kb/%E6%80%8E%E6%A0%B7%E8%AE%BE%E7%BD%AEfirefox-sync |
|
|
9楼#
发布于:2014-05-07 23:40
|
|
|
10楼#
发布于:2014-05-08 00:02
还是原来的好 !
|
|
11楼#
发布于:2014-05-08 12:37
|
|
|
12楼#
发布于:2014-05-08 15:44
|
|
|
13楼#
发布于:2014-05-08 19:47
新Sync在有主密码的情况下不能同步密码,蠢爆了
|
|
14楼#
发布于:2014-05-09 08:19
pcxfirefox:有配置分享么,我老早就在bugzilla上见到这个问题,一直没人分析原因,但我也没重现。想找个配置重现下自行分析下回到原帖不好意思,del掉了,据说是墙问题,那2个状态在safemode下也会 |
|
上一页
下一页