(ой, наша база с паролями утекла - никогда такого не было, и вот опять)

А было такое с Огнелисом?

С огнелисом - не слышал, но было с опенсорсными и не только проектами.

А что, в лисе до сих пор нет экспорта паролей из коробки?

Нет.

Есть ли какой простой способ экспортировать/импортировать их внешними утилитами, опенсорсными и не стучащимися в онлайн?

Простого — нет.

Есть сложный. Пароли лежат в logins.json в зашифрованном виде. Скрипты для расшифровки гуглятся, но их придётся проверять глазами самому.

https://github.com/Unode/firefox_decrypt/

в зашифрованном виде

видимо, чтобы жизнь мёдом не казалась

На листочек пароли с логинами выпиши и на монитор прилепи. Хорошие дядьки придумали менеджеры паролей, но нет, будем хранить небезопасным способом.

а автозаполнять поля в браузере мне Пушкин будет?

В нормальных манагерах есть автозаполнение, но не такое как ты привык. Нужно дополнительное действие (хоткей, клик) тк пароли зашифрованы и по умолчанию никуда сами не заполняются.

ну вот. я не хочу дополнительного действия

Решение

keepassxc+его же плагин в браузер.

А то - в открытом гораздо лучше наверное будет, если у тебя этот файл сопрут :-D

Если сохранность личных данных интересна, то их, как минимум, шифрование домашней директории защищает.

И как шифрование блочного устройства, где лежит домашняя директория, поможет от трояна, сперевшего login.json в момент когда она разлочена?

Безопасность - это комплексный подход. И если тебе где-то кажется что шифрование поверх шифрования - это ВСЕГДА идиотизм(часто так и есть, но...), просто попробуй представить что ты не все варианты продумал

от трояна, сперевшего login.json

от трояна и шифрование лисы не спасёт, раз уж троян знает, что красть - троян просто запустит тот скрипт, что выше советовали, и всё

It can be used to recover passwords from a profile protected by a Master Password as long as the latter is known

Ну а если мастер-пароля нет то как бы ой, да. Или если юзер его бездумно введет в окошечко трояна, маскирующееся по окно лисы(вполне реальная ситуация, не каждый в pstree будет пырится, а в заголовке окна можно много что понаписать)

Ну а если мастер-пароля нет то как бы ой, да.

тут вот какая беда - шифровать мастерпаролем - ок, я согласен

но я не устанавливал мастер-пароль, а пароли в файле всё равно зашифрованы

Раньше было дополнение Password Exporter для экспорт\импорт. Как сейчас не знаю.

Пользоваться встроенной синхронизацией тоже (ой, наша база с паролями утекла - никогда такого не было, и вот опять).

А я верю встроенной синхронизации Firefox и сквозному шифрованию в ней, или как его там. Паролей там, правда, не храню, но все же. Смотрел, что там на сервере хранится при этом, было довольно похоже на фарш.

Так что если у мозиллы утечет их синк-база, я не занервничаю.

Вроде упоминается при отсутствии мастер-пароля в диалоге ввода пароля указывать пустой. Видимо пустому паролю тоже сопоставлен какой-то ключ шифрования.