详细内容或原文请订阅后点击阅览
Microsoft Edge 将密码以明文形式存储在内存中 - 并且是故意这样做的
对于那些在 Edge 中保存密码的人,专家建议选择真正安全的密码管理器,并将其从浏览器中删除。
来源:OSP网站大数据新闻如果您喜欢在浏览器中保存密码,则需要小心。挪威安全研究员 Tom Göran Senstebüsäter Rönning 发现 Microsoft Edge 中存在一个严重漏洞,该漏洞会导致密码以明文形式存储在内存中。
任何具有本地访问权限的攻击者都可以轻松拦截您保存的所有密码,即使这些密码在您上次会话中根本没有使用过。为此,只需从内存中提取它们并复制它们即可。
通常,密码管理器使用端到端加密并将密码存储在云中,以便用户可以从任何地方访问它们。当提示输入密码时,程序会将其解密,然后将其从 RAM 中删除。
在不进行任何加密的情况下保存下载的密码是危险的。 Renning 表示,Edge 是他测试过的唯一具有这种行为方式的基于 Chromium 的浏览器。
Edge 确实需要身份验证才能查看密码,但这并不是什么大问题,因为攻击者只需从 RAM 中读取即可访问密码。
在与微软分享他的发现后,研究人员得到了意想不到的答案。事实证明,在 Edge 中管理密码“不是一个错误,而是一个聪明的技术解决方案”。然而,尚不清楚它向客户承诺了什么好处。
就 Rönning 而言,他决定警告用户一切是如何工作的,并计划在 GitHub 上发布他自己的工具,任何人都可以使用该工具检查 Edge 是否以明文形式将其密码存储在内存中。
对于那些在 Edge 中保存密码的用户,最好选择真正安全的密码管理器并将其从 Edge 中删除。