Microsoft diz que senhas do Edge na RAM são comportamento esperado

Uma descoberta de segurança com trade-offs familiares

A Microsoft está defendendo um comportamento do navegador que voltou a receber atenção: senhas salvas gerenciadas no Edge podem residir em texto simples na RAM. De acordo com o texto de origem fornecido, o pesquisador de segurança Tom Jøran Sønstebyseter Rønning demonstrou que, quando os usuários contam com o Microsoft Password Manager no Edge, o navegador descriptografa as credenciais na inicialização e as mantém na memória do processo, mesmo que o usuário nunca visite, durante aquela sessão, os sites vinculados a essas credenciais.

A resposta da Microsoft, também incluída no material de origem, é que isso é um comportamento esperado, e não um bug de software. A empresa disse ao ZDNET que o acesso do navegador aos dados de senha na memória faz parte de como os aplicativos ajudam os usuários a entrar de forma rápida e segura. Acrescentou que explorar essa condição exigiria que o dispositivo já estivesse comprometido.

É essa combinação de posições que torna a história significativa. A questão não é apresentada como uma falha oculta à espera de correção. Em vez disso, ela se encaixa na categoria desconfortável de trade-offs de design aceitos, em que desempenho e conveniência são ponderados contra as consequências de um comprometimento bem-sucedido.

O que o pesquisador mostrou

Rønning publicou no GitHub um código chamado EdgeSavedPasswordsDumper para demonstrar o comportamento. O texto de origem diz que a ferramenta mostra que as credenciais armazenadas por usuários do Microsoft Password Manager no Edge podem ser encontradas em texto simples na memória do processo do navegador. Isso importa porque delimita o debate. A descoberta não é sobre se as senhas estão criptografadas em repouso dentro dos mecanismos de armazenamento do produto. É sobre o que acontece depois que o navegador já as descriptografou para uso ativo.

O pesquisador também destacou uma aparente contradição na experiência do usuário. O Edge pode exigir reautenticação antes de mostrar senhas na interface do Password Manager, mas o processo do navegador já pode ter essas mesmas senhas presentes em texto simples na memória. Essa lacuna entre as proteções da interface e a exposição em tempo de execução é a parte que provavelmente vai inquietar usuários tecnicamente informados.

Ainda assim, o texto de origem também sustenta o ponto básico da Microsoft de que isso não é um ataque remoto de baixo esforço. O cenário descrito depende de um atacante já ter comprometido uma conta de usuário com privilégios administrativos. Isso não torna a questão irrelevante, mas a coloca mais adiante na cadeia de ataque, e não no ponto inicial de entrada.

News

Um breve relatório no texto-fonte fornecido diz que o iOS 27 permitirá aos usuários escolher entre Gemini, Claude e outros modelos para recursos de IA, sinalizando uma abordagem mais aberta para experiências de IA no dispositivo e na nuvem.

DT Editorial AI·May 6, 2026·via 9to5mac.com

News

A Apple destacou três melhorias que chegarão ao iPhone com o iOS 26.5, um sinal de que o timing dos recursos de software continua sob escrutínio enquanto o lançamento mais amplo da Siri pela empresa segue atraindo atenção.

DT Editorial AI·May 6, 2026·via 9to5mac.com

Por que essa distinção importa

Questões de segurança frequentemente dependem de onde um controle deve atuar. Se um sistema é projetado para se defender de abuso remoto, proteções em repouso e verificações na interface do usuário podem ser suficientes para muitos modelos de ameaça comuns. Se a preocupação é a resiliência pós-comprometimento, os padrões mudam. Uma vez que um atacante obtém acesso local, qualquer coisa mantida na memória se torna mais valiosa e mais vulnerável.

É por isso que o enquadramento da Microsoft como “recurso, não bug” pode ser tecnicamente coerente e ainda assim deixar os usuários inseguros. Do ponto de vista do produto, pré-carregar credenciais pode melhorar a responsividade e reduzir atrito. Do ponto de vista da segurança, isso aumenta a quantidade de material sensível disponível para um atacante que já atravessou outra barreira.

Nenhum dos lados desse argumento é trivial. O software moderno depende frequentemente de segredos residentes na memória para funcionar com fluidez. Ao mesmo tempo, a comprometimento de endpoint não é uma categoria hipotética de risco. Se um navegador centraliza credenciais de várias contas, então qualquer decisão de design que amplie a exposição em memória merece escrutínio.

Pontos centrais estabelecidos no texto de origem

O Edge armazena senhas salvas em texto simples na RAM quando usado como gerenciador de senhas.
A Microsoft diz que esse é um comportamento esperado e que só importaria se o dispositivo já estivesse comprometido.
A demonstração do pesquisador foca no acesso à memória do navegador após o comprometimento.

Uma conversa mais ampla sobre segurança de navegador

A história também reflete uma mudança maior na forma como os navegadores são julgados. Eles já não são apenas ferramentas de renderização de páginas. São hubs de identidade, auxiliares de pagamento, clientes de sincronização e gerenciadores de senhas. Isso significa que seu comportamento em memória, e não apenas suas configurações visíveis ao usuário, está cada vez mais importante para usuários preocupados com segurança e defensores corporativos.

Para algumas pessoas, a explicação da Microsoft será suficiente. Se o dispositivo já estiver comprometido, podem argumentar, muitas outras proteções já falharam. Para outras, esse é justamente o motivo de a questão importar: o software encarregado de credenciais sensíveis deve minimizar os dados úteis que permanecem expostos durante esse estado comprometido.

O texto de origem não estabelece que a Microsoft planeje qualquer mudança, e não mostra evidências de que o comportamento esteja sendo ativamente explorado em escala. Mas ele revela uma tensão real de design que dificilmente vai desaparecer. Gerenciadores de senhas dentro de navegadores populares prometem conveniência ao reduzir o número de etapas entre o usuário e o login. O custo dessa conveniência muitas vezes é pago em uma complexidade que só fica visível quando um pesquisador olha sob a interface.

Para o Developments Today, a importância está menos em uma manchete sensacionalista sobre “senhas em texto simples” e mais na arquitetura do produto. O Edge está sendo convidado a defender uma escolha que pode ser normal em alguns contextos técnicos, mas ainda difícil de justificar para usuários que esperam uma compartimentação mais forte em torno das credenciais salvas. O debate, em última análise, é sobre quanto de exposição é aceitável após o comprometimento, e essa é uma pergunta com a qual a indústria de navegadores continuará lidando.

Este artigo é baseado em uma reportagem da ZDNET. Leia o artigo original.

Microsoft defende senhas do Edge na RAM, mas o design está levantando novas dúvidas

Uma descoberta de segurança com trade-offs familiares

O que o pesquisador mostrou

Related Articles

Keep Reading

Apple vence parte da disputa de marca na UE por um logotipo com tema de cítricos

Por que essa distinção importa

Pontos centrais estabelecidos no texto de origem

Uma conversa mais ampla sobre segurança de navegador

Impulso da Disney+ para um superapp sinaliza a próxima disputa de plataformas do streaming

Comments (0)

Relatório diz que o iOS 27 pode permitir que usuários escolham modelos de IA externos para recursos da Apple

A Apple destaca três melhorias no iPhone no iOS 26.5 enquanto as dúvidas sobre a Siri continuam