微軟 Edge 瀏覽器日前被發現會以明文的方式,將用戶的密碼儲存在記憶體裡,引發對於隱私和資安的擔憂,並稱這是為了方便登入的正式設定而非 Bug,但隨著爭議越演越烈,微軟宣布修改瀏覽器的密碼儲存方式。
根據微軟的新公告,微軟意識到大家對於現行明文儲存密碼的不信任,已經著手進行修改,將取消現行的開啟瀏覽器就預載入的方式,改為選擇輸入時才會導入密碼,並在完成輸入後,自動將密碼資料從記憶體中刪除。
目前這項更新已經進到 Edge Canary 測試版之中,並會在接下來的 148 版正式更新中實裝。
微軟也在文中強調,原有的明文儲存方式沒有出現大規模資安外洩的問題,因為在記憶體加密技術下,駭客必須要有能力取得用戶完整的電腦存取權限,實作難度非常高,非一般網頁遠端攻擊或一般應用程式所能達到的程度。
不過這樣的說法在資安專家眼中是完全無法接受的,因為記憶體洩漏的漏洞其時相當常見,尤其是現在硬體為了加速運算,很容易一個不小心就把加密協議給忘掉,倘若駭客利用相關漏洞,就能夠以側錄的方式,將密碼給截取出來。
如今微軟妥協選擇使用先要求後提供的密碼自動填入機制,將大幅度減低駭客能夠操作與介入的時間,但更多程度的,可能也是因為微軟擔心接下來如果真的爆出問題而面對集體訴訟,否則大概也不會一邊說是正設又這麼快就打臉自己。
:quality(60):no_upscale()/https%3A%2F%2Fimg.4gamers.com.tw%2Fpuku-clone-version%2Fe814ab0fe1802c6ff4bfa823cff5b7601cb775c2.jpg)