文:Tony
Microsoft Edge 密碼管理機制近日再惹資安爭議。 早前於 BigBiteOfTech 資訊安全大會中,Palo Alto Networks Norway 資安研究員 @L1v1ng0ffTh3L4N 披露,Edge 在啟動後會將所有已儲存密碼載入程序記憶體,並以明文形式存在,直到瀏覽器結束運作。
表面上看,這並不代表密碼被直接寫入硬碟或完整外洩,但從資安設計角度而言,風險並不低。因為一旦惡意程式、注入工具,或已取得本機權限的攻擊者能夠讀取記憶體內容,這些原本應受保護的憑證便可能被直接攫取。 對使用者來說,這等同把「已儲存」的密碼,變成在瀏覽器運行期間隨時可被檢視的明文資料。
更具爭議的是,研究員指出,這並非偶發錯誤,而更接近 Edge 的既定設計;Microsoft 方面亦以「by design」回應,意味著官方認為這是產品運作方式的一部分,而非漏洞失誤。
若與其他主流瀏覽器相比,差異會更明顯。研究顯示,Chrome 主要採取按需解密,只有在用戶查看密碼或觸發自動填表時,才短暫載入明文;Firefox 則透過主密碼等機制,提高解密門檻。換言之,其他瀏覽器普遍傾向縮短敏感資料在記憶體中停留的時間,而 Edge 則採取一次載入、持續常駐的策略,安全邊界明顯更寬鬆。
這種差異在企業環境、共享電腦、遠端桌面或 VDI (虛擬桌面) 場景下尤其值得關注。只要端點管理鬆散,或本機防護出現缺口,長駐記憶體中的明文密碼就可能成為攻擊者的入口。對重視帳號資產的用戶來說,這次事件真正值得警惕的,不只是 Edge 是否存在漏洞,而是其密碼處理方式是否仍符合現代瀏覽器應有的安全標準。
資料來源:insiconcyber
