Microsoft Edge RAM में पासवर्ड के लिए बचाव में, लेकिन डिज़ाइन नए सवाल खड़े कर रहा है

यह भेद क्यों मायने रखता है

सुरक्षा संबंधी प्रश्न अक्सर इस पर निर्भर करते हैं कि किसी नियंत्रण को किस जगह काम करने के लिए बनाया गया है। यदि कोई सिस्टम रिमोट दुरुपयोग के विरुद्ध बचाव के लिए डिज़ाइन किया गया है, तो आराम की स्थिति में सुरक्षा और यूज़र-इंटरफ़ेस जांचें कई सामान्य खतरे के मॉडल के लिए पर्याप्त हो सकती हैं। यदि चिंता समझौते के बाद की मजबूती है, तो मानक बदल जाते हैं। एक बार हमलावर को लोकल एक्सेस मिल जाए, तो मेमोरी में रखा कोई भी डेटा अधिक मूल्यवान और अधिक संवेदनशील हो जाता है।

यही कारण है कि Microsoft का “feature, not bug” वाला फ्रेमिंग तकनीकी रूप से सुसंगत होते हुए भी उपयोगकर्ताओं को असहज छोड़ सकता है। उत्पाद के दृष्टिकोण से, क्रेडेंशियल्स को पहले से लोड करना प्रतिक्रिया समय बेहतर कर सकता है और झंझट कम कर सकता है। सुरक्षा के दृष्टिकोण से, यह उस हमलावर के लिए संवेदनशील सामग्री की मात्रा बढ़ाता है जिसने पहले ही एक दूसरी सीमा पार कर ली हो।

इस बहस के दोनों पक्ष हल्के नहीं हैं। आधुनिक सॉफ़्टवेयर अक्सर सुचारु रूप से काम करने के लिए मेमोरी में मौजूद रहस्यों पर निर्भर करता है। साथ ही, एंडपॉइंट समझौता कोई काल्पनिक जोखिम श्रेणी नहीं है। यदि कोई ब्राउज़र कई खातों के लिए क्रेडेंशियल्स को केंद्रीकृत करता है, तो मेमोरी में एक्सपोज़र बढ़ाने वाला कोई भी डिज़ाइन निर्णय जांच के योग्य है।

स्रोत पाठ में स्थापित मुख्य बिंदु

• Edge, उपयोग के दौरान, पासवर्ड मैनेजर के रूप में saved passwords को RAM में प्लेनटेक्स्ट में रखता है।
• Microsoft का कहना है कि यह अपेक्षित व्यवहार है और केवल तब मायने रखता है जब डिवाइस पहले से समझौता किया गया हो।
• शोधकर्ता का प्रदर्शन ब्राउज़र मेमोरी तक समझौते के बाद पहुंच पर केंद्रित है।

ब्राउज़र सुरक्षा पर एक व्यापक बातचीत

यह कहानी इस बात को भी दर्शाती है कि ब्राउज़रों का मूल्यांकन अब किस तरह बदल रहा है। वे अब केवल पेज रेंडर करने वाले उपकरण नहीं हैं। वे पहचान केंद्र, भुगतान सहायक, सिंक क्लाइंट, और पासवर्ड मैनेजर हैं। इसका अर्थ है कि उनके मेमोरी व्यवहार, केवल उपयोगकर्ता-सामने की सेटिंग्स नहीं, सुरक्षा-सचेत उपयोगकर्ताओं और एंटरप्राइज़ रक्षकों के लिए तेजी से महत्वपूर्ण होते जा रहे हैं।

कुछ लोगों के लिए Microsoft की व्याख्या पर्याप्त होगी। यदि डिवाइस पहले से समझौता हो चुका है, तो वे तर्क दे सकते हैं, कई अन्य सुरक्षा उपाय पहले ही विफल हो चुके हैं। दूसरों के लिए, यही कारण है कि मुद्दा महत्वपूर्ण है: संवेदनशील क्रेडेंशियल्स को संभालने वाले सॉफ़्टवेयर को उस समझौता-स्थिति के दौरान उजागर बचे उपयोगी डेटा को कम से कम करना चाहिए।

स्रोत पाठ यह स्थापित नहीं करता कि Microsoft किसी बदलाव की योजना बना रहा है, और यह भी नहीं दिखाता कि व्यवहार का बड़े पैमाने पर सक्रिय दुरुपयोग हो रहा है। लेकिन यह एक वास्तविक डिज़ाइन तनाव को सामने लाता है जो जल्द गायब होने वाला नहीं है। मुख्यधारा के ब्राउज़रों के अंदर पासवर्ड मैनेजर उपयोगकर्ता और लॉगिन के बीच कदमों की संख्या घटाकर सुविधा का वादा करते हैं। इस सुविधा की कीमत अक्सर उस जटिलता में चुकाई जाती है जो केवल तब दिखती है जब कोई शोधकर्ता इंटरफ़ेस के नीचे झाँकता है।

Developments Today के लिए, इस कहानी का महत्व सनसनीखेज “plaintext passwords” शीर्षक से कम और उत्पाद वास्तुकला से अधिक है। Edge को ऐसे विकल्प का बचाव करने के लिए कहा जा रहा है जो कुछ तकनीकी संदर्भों में सामान्य हो सकता है, लेकिन फिर भी उन उपयोगकर्ताओं को समझाना कठिन है जो सहेजे गए क्रेडेंशियल्स के आसपास अधिक कड़े विभाजन की उम्मीद करते हैं। बहस अंततः इस पर है कि समझौते के बाद कितना एक्सपोज़र स्वीकार्य है, और यह एक ऐसा प्रश्न है जिसका सामना ब्राउज़र उद्योग करता रहेगा।

यह लेख ZDNET की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.