北京
浏览器保存的密码,真的安全吗?安全研究员Tom Jøran Sønstebyseter Rønning最近的一项发现,让Edge用户心里一紧。
Rønning在社交媒体上发布视频演示:当你用Edge的密码管理器保存密码后,浏览器会在启动时解密所有凭证,并常驻在进程内存中。即便你从未访问过使用这些凭证的网站,明文密码也已经躺在内存里了。讽刺的是,Edge的密码管理界面还要求你重新认证才能查看密码——但后台进程早就全部拿到了明文。
他在GitHub开源了检测工具EdgeSavedPasswordsDumper,任何人都能验证:Edge进程内存里确实存着用户保存的所有明文密码。
微软的回应堪称经典。在给ZDNET的声明中,发言人表示这是"预期功能":"浏览器访问内存中的密码数据,是为了帮助用户快速安全地登录。"微软强调,这种场景下的数据访问"需要设备已经被入侵",并建议用户安装最新安全更新和杀毒软件。
Rønning的测试视频印证了微软的说法——攻击者确实需要先拿到管理员权限,才能访问所有登录用户进程的内存。但关键差异在于:Rønning测试发现,Edge是目前唯一这样做的Chromium内核浏览器。Chrome只在需要时才解密凭证,而非始终将所有密码驻留内存,这让攻击者提取保存密码的难度大幅提升。
设计权衡无处不在。微软选择了性能优先:启动时全部解密,避免每次登录时的延迟。Chrome选择了安全优先:按需解密,减少内存暴露面。两种路线没有绝对对错,但Edge用户至少该知道——你的密码,正以明文形式躺在内存里,等待被读取。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
