浏览器保存的密码,在内存里是什么状态?安全研究人员发现,Edge的做法和Chrome截然不同——而且微软说这不是漏洞。

问题如何被发现

打开网易新闻 查看精彩图片

安全研究人员对比测试了Edge和Chrome的密码处理机制。Edge启动时,会将用户保存的所有密码以明文形式加载到内存中。Chrome则采取按需解密策略,仅在需要时解密特定凭证,不会一次性将全部密码驻留内存。

打开网易新闻 查看精彩图片

两者都基于开源的Chromium内核,实现路径却分道扬镳。研究人员的测试工具已发布在GitHub,命名为EdgeSavedPasswordsDumper,可演示从Edge内存中提取密码的过程。

微软的回应与风险敞口

研究人员将问题提交给微软后,收到的回复是:该行为就是这么设计的。这意味着用户无法通过常规设置改变这一机制。

明文批量驻留内存的直接后果是:攻击者一旦获得内存访问权限,可一次性抓取全部密码,而非逐个破解。在多用户共享设备、恶意软件植入、物理接触等场景下,攻击面显著扩大。

技术选择的商业逻辑

Edge选择预加载明文密码,推测是为了优化解锁时的响应速度——减少用户输入主密码后的等待时间。这是典型的用户体验与安全性的权衡,微软显然偏向了前者。

打开网易新闻 查看精彩图片

Chrome的按需解密则牺牲了部分流畅度,换取了更小的攻击窗口。两种架构没有绝对优劣,但用户应当知情:它们的风险模型完全不同。

用户能做什么

如果你使用Edge保存密码,需意识到设备物理安全和恶意软件防护的重要性高于以往。企业环境或多人共用设备时,这一设计缺陷的权重会进一步放大。

研究人员已将概念验证工具开源,GitHub仓库地址可在原始报道中找到。这不是Edge首次因安全设计引发争议,但微软的明确表态意味着短期内不会调整。

151次阅读,一次关于"便利代价"的提醒。