5月6日消息,一则关于微软Edge浏览器密码安全的消息引发广泛关注,相关测试发现,该浏览器在启动瞬间,会将用户所有已保存的密码以明文形式加载到内存当中,这一机制使得恶意软件或黑客能够更轻松地窃取这些敏感密码信息,存在一定的安全隐患。
相关测试显示,在所有基于Chromium内核的浏览器中,Edge是唯一一款会在启动时就明文加载全部保存密码的产品,这一特性与其他同内核浏览器形成了明显区别。据悉,同类型主流浏览器采用的是更为保守的密码加载机制,仅在用户主动通过密码管理器查看密码,或触发自动填充菜单请求时,才会将密码以明文形式临时加载到内存中,有效降低密码泄露风险。
进一步测试发现,当用户在Edge浏览器中保存密码后,无论后续是否访问过对应密码所属的网站,浏览器在每次启动时,都会自动解密每一条密码凭证,并将其持续保留在内存中,不会随未访问相关网站而停止加载。这意味着,一旦攻击者获取了终端服务器的管理权限,就能够直接访问所有已登录用户的进程内存,进而获取全部保存的密码信息,安全风险不容忽视。
针对这一现象引发的用户质疑,微软方面已作出明确回应,明确表示Edge浏览器在启动时以明文形式将全部密码加载到内存,并非用户猜测的程序漏洞所致,而是官方刻意设计的结果。其核心目的在于加快终端用户的登录与认证流程,减少用户在访问各类网站时的等待时间,提升整体使用体验。
据悉,这一设计背后是两种浏览器密码管理哲学的差异,一种是优先保障用户使用体验,通过预加载密码提升操作流畅度;另一种则是优先规避安全风险,通过按需解密最小化密码暴露面。此次Edge浏览器的设计选择,将设备安全的责任间接抛回至操作系统层面,也提醒用户需重视终端设备的安全防护,降低密码泄露风险。
目前,该设计引发的安全争议仍在持续,不少用户担忧密码明文加载至内存的机制会增加信息泄露风险,尤其是在多用户共享的终端服务器环境中,一旦管理员权限被攻破,可能导致所有登录用户的密码批量泄露。对于普通用户而言,保持系统更新、开启杀毒软件防护,成为降低此类风险的关键举措。
返回
