一项带有熟悉权衡的安全发现
微软正在为一种再次受到关注的浏览器行为辩护:在 Edge 中管理的已保存密码可能会以明文形式驻留在 RAM 中。根据所提供的原始文本,安全研究员 Tom Jøran Sønstebyseter Rønning 证明,当用户在 Edge 中使用 Microsoft Password Manager 时,浏览器会在启动时解密凭据,并将其保留在进程内存中,即使用户在该会话中从未访问过与这些凭据相关的网站也是如此。
微软的回应同样包含在原始材料中,其说法是这属于预期行为,而不是软件漏洞。该公司告诉 ZDNET,浏览器在内存中访问密码数据,是应用帮助用户快速且安全登录的一部分。公司还补充说,要利用这种情况,设备本身必须已经被入侵。
正是这种立场组合,使得这则新闻具有重要性。这个问题并未被描述为等待修复的隐藏缺陷。相反,它属于一种令人不安的已接受设计权衡:性能与便利性,要与成功入侵后的后果进行衡量。
研究人员展示了什么
Rønning 在 GitHub 上发布了名为 EdgeSavedPasswordsDumper 的代码来演示这一行为。原始文本称,该工具显示,Edge 中使用 Microsoft Password Manager 的用户所保存的凭据可以在浏览器进程内存中以明文形式找到。这一点很重要,因为它缩小了讨论范围。问题并不是密码在产品存储机制中静态保存时是否经过加密,而是浏览器为主动使用而解密之后发生了什么。
这位研究人员还指出了用户体验中的一个表面矛盾。Edge 可能会在 Password Manager 界面显示密码之前要求重新验证身份,而浏览器进程中却可能已经以明文形式存在着同样的密码。界面保护与运行时暴露之间的这种差距,正是最可能让技术用户感到不安的部分。
不过,原始文本也支持微软的基本观点,即这并不是一次低成本的远程攻击。所描述的场景依赖于攻击者已经入侵了一个拥有管理员权限的用户账户。这并不意味着问题不重要,但它确实把问题放在了攻击链的后段,而不是初始 प्रवेश点。
为何这种区分很重要
安全问题往往取决于控制措施原本打算在何处发挥作用。如果一个系统的设计目标是抵御远程滥用,那么静态数据保护和用户界面检查对许多常见威胁模型来说可能已经足够。如果关注的是被入侵后的韧性,标准就会改变。一旦攻击者获得本地访问权限,内存中保存的任何内容都会变得更有价值,也更脆弱。
这就是为什么微软“这是功能,不是缺陷”的表述在技术上可能自洽,却仍然会让用户不安。从产品角度看,预先加载凭据可以提升响应速度并减少摩擦。从安全角度看,它会增加攻击者在跨过另一道边界后可以利用的敏感材料数量。
这场争论的任何一方都不简单。现代软件经常依赖驻留在内存中的秘密信息来平稳运行。与此同时,终端被攻陷并不是假设性的风险类别。如果一款浏览器为多个账户集中管理凭据,那么任何会扩大内存暴露面的设计选择都值得审视。
原始文本中确认的核心要点
- 当 Edge 作为密码管理器使用时,它会将已保存密码以明文形式存放在 RAM 中。
- 微软表示这是预期行为,只有在设备已经被入侵时才会构成问题。
- 研究人员的演示重点在于入侵后对浏览器内存的访问。
