Microsoftは「多層防御」対策としてEdgeのパスワード処理を変更すると述べました。
元々、Edgeは起動時に保存されたパスワードストア全体を復号化し、すべての認証情報をプロセスメモリに平文で保持していました。これは特定の認証情報が使用されるかどうかに関係なく、ブラウザセッション全体を通して行われていました。
少し前、Microsoftはこの平文パスワード動作は意図的なものだと述べていました。しかし現在、Microsoftは方針を変更し、新しいパスワード処理動作はすでにCanary(Microsoft Edgeの実験的プレビュー版)に存在し、すべてのチャネルへのロールアウトが優先されています。
元々この問題を指摘した研究者は以下のように述べました:
「Edgeはこのような動作をするChromiumベースのブラウザで、私がテストした唯一のものです。対照的に、Chromeはプロセスメモリを単に読むだけでは、攻撃者が保存されたパスワードを抽出するのを非常に難しくする設計を使用しています。」
Microsoft Edge Security LeadのGareth Evansは、Microsoftがより広い視点を取るようになり、保存されたパスワードが起動時にメモリに平文で読み込まれなくなるようEdgeを変更することにコミットしたと述べました。その結果、多層防御の改善として露出が削減されます。これは、攻撃者がデバイスの管理制御を持っていたとしても、すべてのパスワードを収集するのがより難しくなることを意味します。
Microsoftによると:
「今後、Microsoft Edgeはブラウザ起動時にすべての保存されたパスワードをメモリに読み込まなくなります。代わりに、パスワードは自動入力またはパスワード管理操作に必要な場合にのみ復号化されます。」
この変更はすでにEdge Canaryチャネルで公開されており、サポートされているすべてのEdgeリリースの次のアップデートに含まれます(Stable、Beta、Dev、Canary、Extended Stable全体でbuild 148以降)。
この変更の理由は、悪用可能な脆弱性の認識というより、おそらくより多く評判と戦略的なものです。Microsoftは現実を「セキュアバイデザイン」というメッセージと一致させ、非常に明らかで簡単にデモできる弱点を削減しようとしているようです。それでも従来のメモリ開示バグとしては扱っていませんが。
ブラウザ内のパスワード
この変更は、Edgeがすべての他のChromiumベースのブラウザと同様に、パスワードを保存するためのセキュアなオプションになることを意味するだけであることに注意してください。
ブラウザのパスワードマネージャーは使いやすさを提供しますが、セキュリティ上のトレードオフが伴います。もちろん、パスワードマネージャーも完璧ではないため、パスワードをどこに保存するかを自分で決定することが重要です。
ウェブサイトが安全であると確信していて、あなたのアカウントでそれにアクセスできる人が機密情報を学べない場合、ブラウザにパスワードを保存して構いませんが、自動入力を無効にして制御を保つようにしてください。
可能な限りMFAを使用してください。誰かがパスワードを手に入れた場合、それはリスクを大幅に減らします。また、クレジットカードの詳細や医療情報などの他の機密個人識別情報をブラウザのパスワードマネージャーに保存することは避けてください。
正直に言うと、シークレットウィンドウはできることが限られています。
侵害、ダークウェブ取引、クレジット詐欺。Malwarebytes Identity Theft Protectionはすべてを監視し、迅速にアラートを発し、身元盗用保険が付いています。
