Nu vind ik het verstandiger om geen wachtwoorden op te slaan in de browser, en als het niet anders kan dan Firefox te gebruiken. Het zal je maar gebeuren dat malware, zoals een info-stealer in je systeem weet te dringen, en al je wachtwoorden steelt. Niet bepaald een prettige gedachte!

Jep dat schijnt een leuke conferentie geweest te zijn toen Tom Jøran Sønstebyseter Rønning het aantoonde bij Palo Alto we zagen het nieuws bericht al vroeg langs komen. Was zelf druk met CVE's maar hoorde goed gevloek in collega chat group.

Wel belangrijke nuance ze staan clear text in geheugen maar niet op de storage dat gaat via DPAPI en daar is het dus wel beveiligd. Maar alsnog bad design puur voor performance en sync winst. En dan hebben we het niet over een performance verlies van zoals by heartbleed maar een fractie van 10 tot 50 milliseconden give or take zover ik heb gehoord. En het scheelt in code voor implementatie weg van de minste weerstand wie kent het niet.

En ik vewacht dit absoluut in 2026 en ik verwacht nog vele malen meer aan meldingen de komende maanden nu AI los gelaten wordt op gros van software. Ga maar uit van dev backdoors plaintext opslag wachtwoord info in comments in een bestand ergens diep verborgen en allerlei andere low effort sht gebasseerd op 20 + jaar tech debt van bedrijven.

En waar staat de sleutel voor de symmetrische AES encryptie die gebruikt is in Firefox? Die staat ook in het geheugen van het Firefox proces. Zoek de twee bij elkaar en je kan alsnog bij alle wachtwoorden. AES is alleen nuttig als de wachtwoorden at-rest versleuteld zijn op de harddisk. Scheelt ook in je geheugengebruik van het Firefox proces.

Ik weet niet meer precies hoe het zat bij PGP voor Windows vroeger, maar daar werd je wachtwoord steeds verplaatst voor een reden die ik nu vergeten ben. Dat was het beste wat ze konden doen.

Waar je echt voor uit moet kijken is de swapfile van je besturingssysteem. Dat is echt einde oefening als je wachtwoord daarin opgeslagen staat.