今朝X(旧Twitter)のさる方の投稿を見てビックリ!
マイクロソフトのブラウザEdgeが、起動時にパスワードを
平文(ひらぶん 暗号化されていない文字列)でメモリ上に
展開しているとのことです。
Microsoft Edge、全パスワードを平文でメモリ上に展開。
セキュリティに懸念。MSの回答は
「例えば保存されているパスワードの1つが「abcdefg」
だった場合、その内容は暗号化されずに「abcdefg」の
ままでメモリ上に展開されます。
つまるところこれは、攻撃者がメモリの中身を読み取る
ことができる場合、Microsoft Edgeに保存されている
パスワードを抽出できることを意味します。」
マイクロソフトによりますと、
「平文でパスワードをメモリに展開するのはパフォーマンス・
使いやすさ・セキュリティのバランスを考慮したもの」
とのことです。
また、マイクロソフトはこのセキュリティのリスクは
あくまでもWindowsパソコンが外部から侵入されたり、
外部から乗っ取られた時に顕在化するとの考え方のようです。
この件に関してX内のエンジニアさん達の間でも賛否両論で、
「ヤバいゾ!」と言う人もいれば、「外部から侵入されたり
乗っ取られた時点で終わりだから関係無い」とか、
「Google Chromeだってパスワードを自動入力する
時にパスワードの復号をしょっちゅうやっている
のだから、深刻度は変わらない」などと主張する人も。
私のような素人(一般ユーザー)ではどれだけ深刻な問題
なのかどうかはよく分かりませんが、少しでも不安を
感じるようならEdgeを使わないで別のブラウザを使う
という選択肢があってもよいのではないかなと思われます。