Allerdings immernoch lieber etwas proprietäre, als garkeine Sicherheit, oder?
Kann proprietäre (=nicht nachvollziehbare) "Sicherheit" überhaupt sicher sein?
"Überweise mir all dein Geld! Ich bewahre es sicher für dich auf. Versprochen! - Wie, Nachweis? Nö, mach ich nicht."
Man verlässt sich ja auch auf die integrierten Bremssysteme seines Autos, obwohl sie proprietär sind.
Weil man mangels Alternativen keine Wahl hat - und daher vermutlich noch nicht mal darüber nachgedacht hat, dass es auch anders sein könnte. Ein vollständig OSHW-konformes Auto - das wäre doch mal was!
Zumal es hier ja nur darum geht, dass Passwörter im RAM verschlüsselt abgelegt werden [..]
Mit einem Algorithmus den du nicht kennst. Laut Spezifikation ist es SHA1. Stimmt das tatsächlich? Und falls ja: Ist der sauber implementiert?
ich habe die Passwörter ja schon zuvor meinem Browserentwickler anvertraut, der durchaus auch nicht überall transparent sein muss...).
Dann solltest du den Browser wechseln!
Ich verwende z.B. grundsätzlich keine Chromium-basierten Browser, denn der Quellcode ist zwar formal offen, wird aber oft in "komprimierter Form" verteilt. Das ist compilierbar, aber nicht menschenlesbar. Keiner kann überprüfen, was der Code aus dem das Binary compiliert wird, tatsächlich tut.
Nun kann ich ein wenig programmieren und Code lesen, aber zu behaupten, ich könnte z.B. den Firefox-Code auch nur ansatzweise verstehen, wäre völlig vermessen. Ich glaube sogar, moderne Full-Feature-Browser sind so komplex, dass kein einzelner Mensch deren Code vollständig verstehen kann.
Ich habe aber z.B. aus Kontakten mit den jeweiligen Maintainern bei Debian das Gefühl, dass Firefox dort vergleichsweise gut gewartet wird, während das bei Chromium nicht der Fall ist. Ein wohliges Bauchgefühl ist leider recht wenig, um darauf sicherheitsrelevante Entscheidungen zu begründen. Aber mehr habe ich leider nicht vorzuweisen.
www.borncity.com
