Microsoft Edge загрузит все ваши пароли в память в виде открытого текста, но Microsoft заявляет, что это не проблема безопасности

Привет, друзья! Я тут покопался в новостях про браузеры и наткнулся на интересную историю с Microsoft Edge. Представьте: вы сохраняете пароли в браузере, чтобы не мучиться с ними каждый раз, а Edge на старте просто берёт и вываливает ВСЕ эти пароли в оперативную память в чистом, незащищённом виде. То есть, в plaintext — просто текстом, который любой вредоносный софт может легко прочитать и украсть. Звучит как дыра в безопасности размером с футбольное поле, правда? Но Microsoft, как всегда, имеет своё мнение на этот счёт. Давайте разберёмся по порядку, и я расскажу, что к чему.

Как это работает и почему это проблема?

Всё началось с поста в X (бывший Twitter) от исследователя по кибербезопасности по нику @L1v1ng0ffTh3L4N. Он протестировал несколько браузеров на базе Chromium — это основа для Edge, Chrome, Brave и Opera — и выяснил: Edge единственный, кто ведёт себя так безрассудно. При запуске браузер расшифровывает КАЖДЫЙ сохранённый пароль и держит их в памяти процесса. Даже если вы не заходите на сайты, где эти пароли нужны!

"Edge — единственный браузер на Chromium, который я протестировал, и он так себя ведёт."

По словам исследователя, если злоумышленник получит административные права на вашем устройстве (например, через фишинг или уязвимость), он сможет просто заглянуть в память процессов всех пользователей и вытащить все пароли. Это особенно опасно на терминальных серверах или в корпоративных сетях, где много народу логинится с одного ПК. 😱

Для сравнения: в Chrome или других браузерах пароли загружаются в открытом виде только когда вы их запрашиваете — например, в менеджере паролей или при автозаполнении. Edge же делает это сразу и на всю катушку, без спроса.

Что говорит Microsoft?

Я связался с Microsoft за комментарием (ну, в смысле, прочитал их официальный ответ), и вот что они заявили:

"Безопасность и защита — основа Microsoft Edge. Доступ к данным браузера в описанном сценарии требует, чтобы устройство уже было скомпрометировано. Выборы в дизайне учитывают баланс между производительностью, удобством и безопасностью, и мы продолжаем оценивать это с учётом эволюционирующих угроз. Браузеры обращаются к данным паролей в памяти, чтобы помочь пользователям быстро и безопасно входить в аккаунты — это ожидаемая функция приложения. Мы рекомендуем устанавливать последние обновления безопасности и антивирусное ПО для защиты от угроз."

Короче, Microsoft не видит в этом большой беды. По их логике, чтобы добраться до паролей, хакеру уже нужно взломать ваш ПК целиком — а если устройство скомпрометировано, то пароли в памяти это меньшая из проблем. Плюс, они подчёркивают, что такая загрузка ускоряет вход на сайты: пароли уже готовы к использованию, без задержек на расшифровку. Это "фича", а не баг, говорят они. Вместо исправления советуют: обновляйтесь timely и ставьте антивирус. Логично, но... ну, вы понимаете. 🔒

Стоит ли беспокоиться?

На мой взгляд, это типичный подход Microsoft: удобство на первом месте, а безопасность — "ну, старайтесь не ломать ПК". В других браузерах подход консервативнее, и это плюс для параноиков вроде меня. Если вы храните в Edge важные пароли (банковские, корпоративные), то подумайте дважды. Может, стоит переключиться на Chrome или включить двухфакторку везде, где возможно? А если вы на Windows, то хотя бы держите систему в тонусе — обновления выходят не зря.

В общем, Edge удобный браузер, но с такими "особенностями" он как тот друг, который оставляет дверь открытой "для проветривания". Будьте осторожны, друзья! Если у вас есть опыт с подобным, пишите в комментах. 👇

В Edge пароли в plaintext в памяти — это дизайн-выбор для скорости, но для полной защиты лучше полагаться на системные обновления и MFA. Не игнорируйте базовую гигиену ПК. — Евгений (MSReview)