浏览器保存密码的方式,通常被认为是安全的最后一道防线。但一位安全研究员发现,Edge在启动时会一次性解密所有凭据,并以明文形式驻留在内存中——包括那些你当天根本没访问的网站。
研究员的发现:启动即解密全部密码
挪威网络安全研究员Tom Jøran Sønstebyseter Rønning在X平台发布技术线程,详细披露了Edge的密码处理机制。他的测试显示,浏览器启动时会解密"every credential at startup",随后将这些密码保持在进程内存中。
更关键的是,这一行为不受用户实际访问行为影响。"即使某个网站你当天完全没有打开,它的密码也会被解密并载入内存,"Rønning解释道。
他在测试中对比了多款基于Chromium内核的浏览器,结论指向明确:「Edge is the only Chromium-based browser I've tested that behaves this way」。Chrome、Brave、Opera等同类浏览器均未表现出相同特征。
技术层面,这一机制意味着攻击者一旦获得终端服务器的管理权限,即可"access the memory of all logged-on user processes"——读取所有已登录用户的进程内存。在共享环境如企业终端服务器、学校机房等场景中,一个拥有管理员账户的攻击者,可以横向获取其他同时在线用户的全部密码。
攻击路径:共享环境中的横向渗透
Rønning描述的威胁模型针对特定场景设计。攻击者首先需要突破第一道防线:获得系统的管理权限。这本身已是重大安全事件,但Edge的明文存储机制将损害进一步扩大。
传统密码管理器或浏览器密码库通常要求二次认证——主密码、生物识别或硬件密钥。即使攻击者已控制机器,提取密码仍需额外步骤。Edge的"by design"机制则取消了这层缓冲:密码以可读的明文形式漂浮在内存中,等待被读取。
企业环境的风险尤为突出。终端服务器架构下,数十至数百用户共享同一物理硬件,各自会话隔离但共存于统一内存空间。管理员账户本可维护系统,而Edge的设计让这一权限意外获得了"读取所有人密码"的副作用。
个人用户同样面临场景化风险。家庭共享电脑、图书馆公共终端、酒店商务中心——任何多账户登录同一设备的场合,先登录者的密码都可能被后获得管理员权限的会话提取。
微软的回应:已知,且是故意的
Rønning披露,他已通过正规渠道向微软报告此问题。收到的回复是:该行为属于"by design"——设计如此,并非漏洞。
这一回应将技术讨论推向产品哲学层面。安全机制的设计永远在便利性与防护强度之间取舍。Edge选择启动时预解密全部密码,换取的是用户访问网站时的瞬时自动填充体验;其他Chromium浏览器选择在需要时即时解密,牺牲毫秒级响应换取内存中不常驻明文密码。
微软的判断基于威胁模型的差异:若攻击者已获管理员权限,系统已沦陷,密码安全属次要问题。Rønning的反驳聚焦于"已知风险"与"新增风险"的区别——管理员权限确实危险,但Edge的设计将这一危险转化为"批量密码提取"的确定性能力,而非传统意义上的系统破坏。
时间线显示,这一"特性"并非新发现。X用户LopezLuccio666在相关线程中回应,称其已于2025年9月向微软报告同一问题。六个月过去,机制未变,官方定性未变。
对比:其他浏览器如何处理
Rønning的测试样本覆盖主流Chromium系浏览器。Chrome作为同源内核的参照,未表现出启动即全量解密的行为;Brave、Opera等衍生产品同样未复制Edge模式。
这一差异指向微软的独立开发决策。Chromium开源项目提供密码管理的基础框架,但具体实现——何时解密、解密范围、内存驻留策略——由各发行版自主定义。Edge团队选择了激进预加载策略,竞争对手选择了按需解密。
非Chromium浏览器如Firefox、Safari的架构差异更大,直接对比意义有限。但行业基准认知中,"内存中不常驻明文密码"是密码管理器的通用设计原则。Edge的偏离因此显得突兀。
用户侧的可感知差异在于自动填充速度。Edge的预解密机制消除了密钥派生和解密计算的延迟,复杂主密码场景下优势更明显。这一优化是否值得承担内存明文暴露的风险,微软的"by design"答复暗示其产品团队已做出肯定判断。
用户能做什么:有限的规避选项
对于已依赖Edge密码管理器的用户,完全规避这一机制的选择空间有限。浏览器未提供"禁用启动预解密"的开关,密码存储行为属于封闭实现。
替代方案指向第三方密码管理器。1Password、Bitwarden、KeePass等产品采用不同的安全模型:主密码验证前,密码库保持加密状态;即使内存被读取,获取的也是密文而非明文。这些工具与Edge的集成可通过扩展实现,牺牲部分自动填充流畅度换取防护层级提升。
企业IT管理员可考虑组策略限制。Edge支持通过Windows管理模板控制密码管理器功能,完全禁用内置密码存储可消除风险——但将用户推向更弱的密码实践(重复密码、简单密码、浏览器外明文记录)。
终端服务器场景的缓解措施更为明确。限制同时登录用户数、启用Credential Guard等硬件级隔离技术、监控异常内存访问行为,均可降低Rønning描述攻击路径的可行性。但这些属于基础设施加固,不解决Edge设计本身的问题。
行业语境:浏览器密码管理的信任危机
Edge此次争议置于更广泛的信任衰减背景中。浏览器厂商持续扩展密码管理器功能,从简单的表单填充演进为跨设备同步、密码健康度检查、泄露监控等综合服务。功能堆叠的同时,安全架构的透明度并未同步提升。
用户通常假设:浏览器密码与专用管理器"足够接近"安全。Rønning的发现揭示了这一假设的脆弱性——便利优先的设计哲学,在特定威胁模型下会产生专用工具不会引入的暴露面。
微软的"by design"回应亦引发标准之争。若启动全量预解密被接受为合理设计,其他厂商可能跟进以竞争性能指标;若业界反弹强烈,Edge可能面临反向调整压力。目前Chromium生态的分化状态——Edge独行,其他浏览器保守——暗示这一设计尚未成为共识。
密码管理器的终极安全承诺是"即使设备被入侵,密码仍受保护"。Edge的机制削弱了这一承诺的绝对性:设备级入侵(管理员权限获取)直接降级为密码级入侵。对于将浏览器密码作为唯一或主要凭据存储的用户,这一降级意味着安全模型的根本重构。
数据收束:Rønning的测试样本量、LopezLuccio666的2025年9月报告时间戳、微软"by design"的定性回复,构成评估此事的三元坐标。技术社区的反应、企业用户的实际风险暴露、竞品浏览器的行为差异,将在后续季度决定这一设计是被重新定义为漏洞,还是被接受为Edge的差异化特性。当前可确认的事实是:Edge的内存中确实存在用户全部密码的明文副本,从浏览器启动持续到进程结束,这一行为已被微软确认为 intentional 而非 oversight。
热门跟贴