微软回应 Edge 在内存中明文加载所有密码：并非 Bug，设计使然

5 月 6 日消息，安全研究员 @L1v1ng0ffTh3L4N 发现，微软 Edge 浏览器在启动时会将所有已保存的密码以明文形式加载到内存中，这使得恶意软件或黑客更容易窃取这些密码。

@L1v1ng0ffTh3L4N 表示，“在我测试过的所有基于 Chromium 的浏览器中，Edge 是唯一会这样做的”。

据介绍，谷歌 Chrome 仅在用户通过密码管理器或自动填充菜单请求查看密码时，才会将密码以明文形式加载到内存中。

他进一步指出：“当你在 Edge 中保存密码时，浏览器会在启动时解密每一条凭证，并将其保留在内存中。即使你从未访问过使用这些凭证的网站，这种情况也会发生。如果攻击者获得了终端服务器的管理权限，他们就可以访问所有已登录用户进程的内存。”

对此，微软发言人回应称，Edge 在启动时以明文将全部密码加载到内存是设计使然，并非用户怀疑的 Bug 导致，其目的是加快终端用户的登录和认证流程。

安全与保障是 Microsoft Edge 的基石。要想在所描述的场景下窃取浏览器数据，前提是设备已经遭到入侵。

这一领域的设计选择需要在性能、可用性和安全性之间取得平衡，我们会持续根据不断变化的威胁进行评估。

浏览器在内存中访问密码数据是为了帮助用户快速、安全地登录 —— 这是应用程序的预期功能。我们建议用户安装最新的安全更新和杀毒软件，以帮助防范安全威胁。

很显然，微软已经意识到这一问题，但并未打算对其进行修正，而是建议用户确保 PC 始终保持最新的安全更新，以防止安装可能利用此设计的恶意软件。