Microsoft म्हणते Edge RAM मध्ये पासवर्ड असणे अपेक्षित आहे

Microsoft Edge RAM मधील पासवर्ड्सचे समर्थन करत आहे, पण डिझाइन नवे प्रश्न निर्माण करत आहे

Microsoft म्हणते की Edge मध्ये सेव्ह केलेले पासवर्ड मेमरीमध्ये plaintext स्वरूपात असणे हे अपेक्षित browser वर्तन आहे, पण या खुलाशामुळे सोय आणि सुरक्षा यांचा समतोल कसा साधायचा यावरची चर्चा अधिक तीव्र झाली आहे.

DT Editorial AI

May 6, 2026·3 min read·774 words

परिचित तडजोडींसह आलेला एक security finding

Microsoft अशा browser वर्तनाचे समर्थन करत आहे ज्यावर पुन्हा नव्याने लक्ष केंद्रीत झाले आहे: Edge मध्ये managed saved passwords RAM मध्ये plaintext स्वरूपात राहू शकतात. दिलेल्या source text नुसार, security researcher Tom Jøran Sønstebyseter Rønning यांनी दाखवले की जेव्हा वापरकर्ते Microsoft Password Manager in Edge वर अवलंबून असतात, तेव्हा browser startup वेळी credentials decrypt करतो आणि ते process memory मध्ये ठेवतो, अगदी त्या session मध्ये वापरकर्त्याने त्या credentials शी संबंधित sites कधीही भेट दिली नसली तरीही.

source material मध्ये समाविष्ट Microsoft च्या प्रतिसादानुसार, हे software bug नसून अपेक्षित वर्तन आहे. कंपनीने ZDNET ला सांगितले की memory मधील password data वर browser ला प्रवेश असणे हे applications वापरकर्त्यांना पटकन आणि सुरक्षितपणे sign in करण्यात मदत कशी करतात याचा भाग आहे. यासाठी device आधीच compromised असणे आवश्यक असल्याचेही कंपनीने नमूद केले.

ही दोन्ही भूमिका एकत्र आल्यामुळे ही बातमी महत्त्वाची ठरते. हा मुद्दा patch ची वाट पाहणाऱ्या लपलेल्या त्रुटीप्रमाणे मांडलेला नाही. त्याऐवजी, तो स्वीकारलेल्या design tradeoffs च्या अस्वस्थ श्रेणीत येतो, जिथे performance आणि convenience यांची तुलना यशस्वी compromise च्या परिणामांशी केली जाते.

संशोधकाने काय दाखवले

Rønning यांनी हे वर्तन दाखवण्यासाठी GitHub वर EdgeSavedPasswordsDumper नावाचे code प्रकाशित केले. source text सांगते की हे tool Edge मध्ये Microsoft Password Manager वापरणाऱ्या लोकांचे credentials browser process memory मध्ये plaintext स्वरूपात सापडू शकतात हे दाखवते. हे महत्त्वाचे आहे कारण त्यामुळे चर्चा नेमकी होते. हा finding product च्या storage mechanisms मध्ये passwords at rest encrypted आहेत की नाही याबद्दल नाही. तो browser ने active use साठी ते आधीच decrypt केल्यानंतर काय होते याबद्दल आहे.

संशोधकाने user experience मधील एक स्पष्ट विरोधाभासही अधोरेखित केला. Edge Password Manager interface मध्ये पासवर्ड दाखवण्यापूर्वी पुन्हा authentication मागू शकते, तरीही browser process कडे तेच पासवर्ड आधीच plaintext मध्ये memory मध्ये असू शकतात. interface protections आणि runtime exposure यांच्यातला हा फरक तांत्रिकदृष्ट्या जाणकार वापरकर्त्यांना अस्वस्थ करणारा भाग आहे.

तरीही, source text Microsoft च्या मूलभूत मुद्द्याला पाठिंबा देते की हा कमी प्रयत्नांचा remote attack नाही. वर्णन केलेले scenario attacker कडे आधीच प्रशासकीय अधिकार असलेले user account compromised असणे यावर अवलंबून आहे. त्यामुळे हा मुद्दा अप्रासंगिक ठरत नाही, पण तो प्रारंभिक प्रवेशबिंदूपेक्षा attack chain च्या पुढील टप्प्यावर ठेवला जातो.

हा फरक का महत्त्वाचा आहे

security प्रश्न अनेकदा एखादा control कुठे कार्य करण्यासाठी बनवला आहे यावर अवलंबून असतात. जर एखादी system remote abuse पासून संरक्षण करण्यासाठी डिझाइन केलेली असेल, तर at-rest protections आणि user-interface checks अनेक सामान्य threat models साठी पुरेसे ठरू शकतात. जर चिंता post-compromise resilience ची असेल, तर मानके बदलतात. attacker ला local access मिळाल्यानंतर memory मध्ये ठेवलेले कोणतेही data अधिक मौल्यवान आणि अधिक असुरक्षित होते.

म्हणूनच Microsoft चे “feature, not bug” framing तांत्रिकदृष्ट्या सुसंगत असले तरीही वापरकर्त्यांना अस्वस्थ करू शकते. product च्या दृष्टीने, credentials आधीच load केल्याने responsiveness सुधारू शकते आणि friction कमी होऊ शकते. security च्या दृष्टीने, आधीच दुसरी सीमा पार केलेल्या attacker साठी उपलब्ध sensitive material चे प्रमाण वाढते.

या वादातील दोन्ही बाजू किरकोळ नाहीत. आधुनिक software सुरळीत चालण्यासाठी अनेकदा memory-resident secrets वर अवलंबून असते. त्याच वेळी, endpoint compromise हा काल्पनिक धोका नाही. जर browser अनेक खात्यांसाठी credentials केंद्रीत करत असेल, तर in-memory exposure वाढवणाऱ्या कोणत्याही design choice वर scrutiny असली पाहिजे.

source text मध्ये स्थापित मुख्य मुद्दे

Edge, वापरादरम्यान saved passwords RAM मध्ये plaintext स्वरूपात ठेवते.

Microsoft म्हणते की हे अपेक्षित वर्तन आहे आणि device आधीच compromised असल्यासच ते महत्त्वाचे ठरते.

संशोधकाचे demonstration browser memory मधील post-compromise access वर केंद्रित आहे.

ब्राउझर security बद्दल व्यापक चर्चा

ही कथा browsers कसे मोजले जात आहेत यातील मोठ्या बदलाचेही प्रतिबिंब आहे. आता ते फक्त page-rendering tools नाहीत. ते identity hubs, payment helpers, sync clients, आणि password managers झाले आहेत. त्यामुळे user-facing settings इतकेच नाही, तर memory behavior देखील security-conscious वापरकर्ते आणि enterprise defenders साठी अधिक महत्त्वाचे ठरत आहे.

काही लोकांसाठी Microsoft चे स्पष्टीकरण पुरेसे ठरेल. device आधीच compromised असेल, तर अनेक इतर protections आधीच अयशस्वी झाले आहेत, असा त्यांचा युक्तिवाद असू शकतो. इतरांसाठी, हाच मुद्दा महत्त्वाचा का आहे याचे कारण आहे: sensitive credentials सांभाळणाऱ्या software ने compromised अवस्थेत उघडे राहणारे उपयुक्त data शक्य तितके कमी केले पाहिजे.

source text Microsoft बदलाची योजना करत आहे हे सिद्ध करत नाही, आणि हे वर्तन मोठ्या प्रमाणात सक्रियपणे exploit केले जात आहे हेही दाखवत नाही. पण ते असे एक खरे design tension समोर आणते जे लवकर नाहीसे होणार नाही. मुख्य प्रवाहातील browsers मधील password managers user आणि login यांच्यातील पावले कमी करून सोयीचे आश्वासन देतात. त्या सोयीची किंमत अनेकदा अशा गुंतागुंतीत चुकवली जाते जी interface च्या खाली एखाद्या संशोधकाने पाहिल्यावरच दिसते.

Developments Today साठी, या कथेतले महत्त्व sensational “plaintext passwords” headline पेक्षा product architecture मध्ये अधिक आहे. Edge ला अशा निवडीचे समर्थन करावे लागत आहे जी काही technical contexts मध्ये सामान्य असू शकते, पण saved credentials भोवती अधिक मजबूत compartmentalization अपेक्षित असलेल्या वापरकर्त्यांना समजावणे कठीण आहे. हा वाद अखेरीस compromise नंतर किती exposure स्वीकार्य आहे यावर केंद्रित आहे, आणि browser उद्योगाला हा प्रश्न पुढेही सामोरा जावा लागेल.

हा लेख ZDNET च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.

Microsoft Edge RAM मधील पासवर्ड्सचे समर्थन करत आहे, पण डिझाइन नवे प्रश्न निर्माण करत आहे

परिचित तडजोडींसह आलेला एक security finding

संशोधकाने काय दाखवले

Keep Reading

सिट्रस-थीम असलेल्या लोगोवर EU ट्रेडमार्क लढाईत Apple ने अंशतः विजय मिळवला

हा फरक का महत्त्वाचा आहे

source text मध्ये स्थापित मुख्य मुद्दे

ब्राउझर security बद्दल व्यापक चर्चा

Disney+ सुपर-अॅप पुढाकार स्ट्रीमिंगच्या पुढील प्लॅटफॉर्म लढाईचे संकेत देतो

Comments (0)