Microsoft கூறுகிறது Edge RAM-இல் passwords இருப்பது எதிர்பார்க்கப்படும் நடத்தை

Microsoft Edge RAM-இல் கடவுச்சொற்கள் இருப்பதை பாதுகாக்கிறது, ஆனால் வடிவமைப்பு புதிய கேள்விகளை எழுப்புகிறது

Edge-இல் சேமிக்கப்பட்ட கடவுச்சொற்கள் நினைவகத்தில் plaintext ஆக இருப்பது எதிர்பார்க்கப்படும் browser நடத்தை என Microsoft கூறுகிறது, ஆனால் இந்த வெளிப்பாடு வசதி மற்றும் பாதுகாப்பு எவ்வாறு சமநிலைப்படுத்தப்பட வேண்டும் என்பதைக் குறித்த விவாதத்தை தீவிரப்படுத்துகிறது.

DT Editorial AI

May 6, 2026·3 min read·625 words

பரிச்சயமான சமநிலையுடன் வந்த ஒரு security finding

Microsoft தற்போது மீண்டும் கவனத்தை ஈர்த்துள்ள ஒரு browser நடத்தை பற்றி பாதுகாப்பு விளக்கம் அளித்து வருகிறது: Edge-இல் நிர்வகிக்கப்படும் saved passwords RAM-இல் plaintext ஆக இருக்க முடியும். வழங்கப்பட்ட source text-ன் படி, security researcher Tom Jøran Sønstebyseter Rønning, பயனர்கள் Microsoft Password Manager in Edge-ஐ நம்பும்போது, browser startup-இல் credentials-ஐ decrypt செய்து அவற்றை process memory-இல் வைத்திருப்பதை காட்டினார்; அந்த session-இல் அந்த credentials தொடர்புடைய sites-ஐ பயனர் ஒருபோதும் பார்க்காவிட்டாலும் கூட அது நடைபெறும்.

source material-ல் சேர்க்கப்பட்ட Microsoft-ன் பதில், இது ஒரு software bug அல்ல, எதிர்பார்க்கப்படும் நடத்தை என்பதாகும். நிறுவனம் ZDNET-க்கு, memory-இல் password data-ஐ browser அணுகுவது application-கள் பயனர்கள் விரைவாகவும் பாதுகாப்பாகவும் sign in செய்ய உதவும் முறையின் ஒரு பகுதியாகும் என்று கூறியது. மேலும், இந்த நிலையை exploit செய்ய, device ஏற்கனவே compromised நிலையில் இருக்க வேண்டும் என்றும் அது சேர்த்தது.

இந்த இரண்டு நிலைப்பாடுகளின் சேர்க்கைதான் இந்த செய்தியை முக்கியமாக்குகிறது. இந்த பிரச்சினை patch-ஐ காத்திருக்கும் மறைந்த குறைபாடாக விளக்கப்படவில்லை. மாறாக, இது ஏற்றுக்கொள்ளப்பட்ட design tradeoff-களின் அசௌகரியமான வகையில் உள்ளது, அங்கு performance மற்றும் convenience, வெற்றிகரமான compromise-ன் விளைவுகளுக்கு எதிராக அளக்கப்படுகின்றன.

ஆராய்ச்சியாளர் என்ன காட்டினார்

Rønning, இந்த நடத்தை விளக்க GitHub-இல் EdgeSavedPasswordsDumper என்ற code-ஐ வெளியிட்டார். source text கூறுவதாவது, இந்த tool, Edge-இல் Microsoft Password Manager பயன்படுத்தும் பயனர்களின் credentials browser process memory-இல் plaintext-ஆகக் காணப்பட முடியும் என்பதை காட்டுகிறது. இது விவாதத்தின் திசையை நெருக்கமாக்குகிறது என்பதால் முக்கியம். இந்த finding, product storage mechanisms-இல் passwords at rest encryption செய்யப்பட்டுள்ளனவா என்பதைக் குறித்ததல்ல. browser அவற்றை active use-க்காக ஏற்கனவே decrypt செய்த பிறகு என்ன நடக்கிறது என்பதைக் குறித்தது.

ஆராய்ச்சியாளர் user experience-இல் தெரியும் ஒரு வெளிப்படையான முரண்பாட்டையும் சுட்டிக்காட்டினார். Edge Password Manager interface-இல் passwords-ஐ காட்டுவதற்கு முன் மீண்டும் authentication கேட்கலாம், ஆனால் அதே passwords browser process memory-இல் ஏற்கனவே plaintext ஆக இருக்கலாம். interface protections மற்றும் runtime exposure இடையிலான இந்த gap, தொழில்நுட்ப அறிவு கொண்ட பயனர்களை அதிகமாக கலக்கக் கூடிய பகுதியாகும்.

என்றாலும், source text Microsoft-ன் அடிப்படை கருத்தையும் ஆதரிக்கிறது: இது எளிதில் செய்யக்கூடிய remote attack அல்ல. விவரிக்கப்பட்ட சூழ்நிலை, administrative rights கொண்ட user account ஏற்கனவே attacker-னால் compromise செய்யப்பட்டிருக்க வேண்டும் என்பதையே சார்ந்துள்ளது. இது பிரச்சினையை பொருத்தமற்றதாக மாற்றவில்லை, ஆனால் initial entry point-இல் அல்லாமல் attack chain-ன் பின்னர் பகுதியில் அதை வைக்கிறது.

இந்த வேறுபாடு ஏன் முக்கியம்

security கேள்விகள் பெரும்பாலும் ஒரு control எங்கு செயல்பட வேண்டும் என்பதையே சார்ந்திருக்கும். ஒரு system remote abuse-இல் இருந்து பாதுகாக்க வடிவமைக்கப்பட்டிருந்தால், at-rest protections மற்றும் user-interface checks பல சாதாரண threat models-க்கு போதுமானதாக இருக்கலாம். கவலை post-compromise resilience ஆக இருந்தால், தரநிலைகள் மாறுகின்றன. attacker local access பெற்றவுடன், memory-இல் வைத்திருக்கும் எதுவும் அதிக மதிப்புடையதும் அதிக பாதிப்புக்குரியதுமானதாகிறது.

அதனால்தான் Microsoft-ன் “feature, not bug” framing தொழில்நுட்ப ரீதியாக பொருத்தமாக இருந்தாலும், பயனர்களை இன்னும் பதற்றத்தில் விடக்கூடும். product perspective-இல், credentials-ஐ முன்கூட்டியே load செய்வது responsiveness-ஐ மேம்படுத்தி friction-ஐ குறைக்கலாம். security perspective-இல், இது ஏற்கனவே மற்றொரு எல்லையை தாண்டிய attacker-க்கு கிடைக்கும் sensitive material அளவை அதிகரிக்கிறது.

இந்த வாதத்தின் இரு பக்கங்களும் சாதாரணமல்ல. நவீன software சீராக இயங்குவதற்கு memory-resident secrets-ஐ அடிக்கடி நம்புகிறது. அதே நேரத்தில், endpoint compromise என்பது கற்பனையான risk category அல்ல. ஒரு browser பல கணக்குகளுக்கான credentials-ஐ மையப்படுத்தினால், in-memory exposure-ஐ விரிவுபடுத்தும் எந்த design decision-க்கும் scrutiny தேவை.

source text-ல் நிறுவப்பட்ட முக்கிய அம்சங்கள்

Edge, use-இல் இருக்கும் போது saved passwords-ஐ RAM-இல் plaintext ஆக வைத்திருக்கிறது.

Microsoft இது எதிர்பார்க்கப்படும் நடத்தை என்றும், device ஏற்கனவே compromised ஆக இருந்தால் மட்டுமே முக்கியம் என்றும் கூறுகிறது.

ஆராய்ச்சியாளர் காட்டியது browser memory-க்கு post-compromise அணுகல் என்பதில்தான் கவனம் செலுத்துகிறது.

பெரிய browser security உரையாடல்

இந்த செய்தி browsers எவ்வாறு மதிப்பிடப்படுகின்றன என்பதில் ஏற்பட்டுள்ள பெரிய மாற்றத்தையும் பிரதிபலிக்கிறது. அவை இனி வெறும் page-rendering கருவிகள் அல்ல. அவை identity hubs, payment helpers, sync clients, மற்றும் password managers ஆக உள்ளன. அதனால் user-facing settings-களை மட்டுமல்ல, அவற்றின் memory behavior-ஐயும் security-conscious users மற்றும் enterprise defenders அதிகமாக கவனிக்கிறார்கள்.

சிலருக்கு Microsoft-ன் விளக்கம் போதுமானதாக இருக்கும். device ஏற்கனவே compromised ஆனிருந்தால், பல பிற protections ஏற்கனவே தோல்வியடைந்துவிட்டன என்று அவர்கள் வாதிடலாம். மற்றவர்களுக்கு, அதுவே பிரச்சினை முக்கியமான காரணமாகும்: sensitive credentials-க்கு நம்பிக்கையளிக்கப்பட்ட software, compromised state-இல் வெளிப்படையாக இருக்கும் பயனுள்ள data-வை குறைக்க வேண்டும்.

source text Microsoft எந்த மாற்றத்தையும் திட்டமிடுகிறது என்பதை நிரூபிப்பதில்லை, மேலும் இந்த நடத்தை பெரிய அளவில் தீவிரமாக exploit செய்யப்படுவதாகவும் காட்டவில்லை. ஆனால் இது மறையப் போகாத உண்மையான design tension-ஐ வெளிப்படுத்துகிறது. Mainstream browsers-இல் உள்ள password managers, user-க்கும் login-க்கும் இடையிலான படிகளை குறைத்து convenience-ஐ வாக்குறுதி அளிக்கின்றன. அந்த வசதியின் விலை பெரும்பாலும் interface-ன் கீழ் ஒரு ஆராய்ச்சியாளர் பார்க்கும் போது மட்டுமே தெரியும் சிக்கலாக செலுத்தப்படுகிறது.

Developments Today-க்கு, இந்த செய்தியின் முக்கியத்துவம் sensational “plaintext passwords” headline-ஐ விட product architecture-இல் அதிகமாக உள்ளது. Edge, சில technical contexts-ல் சாதாரணமாக இருக்கக்கூடிய ஆனால் saved credentials சுற்றியுள்ள வலுவான compartmentalization-ஐ எதிர்பார்க்கும் பயனர்களுக்கு விளக்க கடினமான ஒரு தேர்வை பாதுகாக்குமாறு கேட்கப்படுகிறது. இந்த விவாதம் இறுதியில் compromise-க்குப் பிறகு எவ்வளவு exposure ஏற்றுக்கொள்ளத்தக்கது என்பதையே சுற்றி உள்ளது, மேலும் browser industry இதை தொடர்ந்து எதிர்கொள்ளும்.

இந்த கட்டுரை ZDNET செய்தியிடலை அடிப்படையாகக் கொண்டது. மூல கட்டுரையைப் படிக்கவும்.

Microsoft Edge RAM-இல் கடவுச்சொற்கள் இருப்பதை பாதுகாக்கிறது, ஆனால் வடிவமைப்பு புதிய கேள்விகளை எழுப்புகிறது

பரிச்சயமான சமநிலையுடன் வந்த ஒரு security finding

ஆராய்ச்சியாளர் என்ன காட்டினார்

Keep Reading

சிட்ரஸ்-தீம் கொண்ட லோகோ குறித்த EU வர்த்தக முத்திரை விவாதத்தில் Apple பகுதி வெற்றி பெற்றது

இந்த வேறுபாடு ஏன் முக்கியம்

source text-ல் நிறுவப்பட்ட முக்கிய அம்சங்கள்

பெரிய browser security உரையாடல்

Disney+ சூப்பர்-ஆப் தள்ளுபடி ஸ்ட்ரீமிங்கின் அடுத்த தளப் போராட்டத்தை சுட்டிக்காட்டுகிறது

Comments (0)