瀏覽器明文存儲(chǔ)密碼，微軟卻說不是Bug

用戶即資產(chǎn)，無疑是互聯(lián)網(wǎng)行業(yè)的底層邏輯。為了將訪客轉(zhuǎn)化為用戶，幾乎所有互聯(lián)網(wǎng)產(chǎn)品都在努力讓你注冊(cè)賬號(hào)。當(dāng)每一個(gè)互聯(lián)網(wǎng)產(chǎn)品都需要我們的賬戶和密碼后，如何管理這些信息就成了一個(gè)問題。為此有相當(dāng)多人選擇了瀏覽器的“記住密碼”功能，省去每次上淘寶、小紅書、知乎等網(wǎng)站時(shí)輸入密碼的步驟。

那么在瀏覽器記住了你的賬號(hào)密碼后，它們會(huì)妥善保管嗎？由于互聯(lián)網(wǎng)廠商視用戶隱私于無物的案例實(shí)在太多，所以相信不少人都有類似的疑問。日前，一位挪威網(wǎng)絡(luò)安全研究專家宣稱，他發(fā)現(xiàn)微軟Edge瀏覽器會(huì)在啟動(dòng)時(shí)將所有已保存的密碼以明文形式加載到內(nèi)存中，即便用戶全程并未訪問需要相關(guān)信息的網(wǎng)站，也不會(huì)將其清除。

按照這位網(wǎng)絡(luò)安全專家的說法，Edge瀏覽器的這一做法在主流瀏覽器中極為罕見。在他測(cè)試的所有基于Chromium內(nèi)核的瀏覽器里，Edge是唯一采用該設(shè)計(jì)的產(chǎn)品。

有趣的是，當(dāng)他將這個(gè)問題反饋給微軟后，后者給出了這一設(shè)計(jì)是有意為之的回復(fù)，并表示“瀏覽器在內(nèi)存中訪問密碼數(shù)據(jù)是為了幫助用戶快速、安全地登錄，這是應(yīng)用程序的預(yù)期功能。”而在解釋如何避免攻擊者讀取用戶設(shè)備的內(nèi)存，從而獲取全部明文密碼時(shí)，微軟的說法是建議用戶及時(shí)更新系統(tǒng)補(bǔ)丁。

其實(shí)從技術(shù)層面來看，微軟對(duì)此敷衍了事并非出于大企業(yè)病，而是這個(gè)問題并不會(huì)立刻導(dǎo)致用戶的密碼泄露。以目前Edge在瀏覽器市場(chǎng)超過10%的份額，用戶密碼保護(hù)脆弱就會(huì)直接轉(zhuǎn)化為黑客組織實(shí)質(zhì)性的攻擊，所以除非認(rèn)為微軟能在互聯(lián)網(wǎng)世界只手遮天，否則Edge泄露用戶密碼的丑聞早就曝光了。

Edge將密碼以明文形式加載到內(nèi)存的行為要造成不良后果，需要先獲取設(shè)備的本地訪問權(quán)限，而一般的網(wǎng)站則不可能得到進(jìn)程內(nèi)存的讀取能力。假如黑客已經(jīng)獲取了設(shè)備的本地訪問權(quán)限，除非從未使用過瀏覽器的“記住密碼”功能，否則也阻止不了密碼泄露。

雖然有人用Chrome來進(jìn)行對(duì)比，因?yàn)镃hrome的策略是僅在用戶通過密碼管理器或自動(dòng)填充菜單請(qǐng)求查看密碼時(shí)，才會(huì)將其以明文形式加載到內(nèi)存中。但這里要為Edge鳴不平，因?yàn)樵跒g覽器啟動(dòng)時(shí)一次性加載密碼與瀏覽過程中按需加載，其實(shí)在本質(zhì)上并沒有什么區(qū)別。

想要實(shí)現(xiàn)瀏覽器自動(dòng)幫助用戶填充賬號(hào)密碼，密碼就一定會(huì)在填充到網(wǎng)站登錄框時(shí)以明文狀態(tài)出現(xiàn)。如若不然，網(wǎng)站又怎么能知道瀏覽器填充了正確的密碼。

簡(jiǎn)而言之，瀏覽器是以AES加密的方式將用戶的賬號(hào)密碼存儲(chǔ)在硬盤上，密鑰則是由操作系統(tǒng)安全存儲(chǔ)區(qū)域保護(hù)，但無論如何，當(dāng)用戶登錄相關(guān)網(wǎng)站時(shí)，被加密的密碼必然就會(huì)被解密，然后由瀏覽器代你填入具體的字母、數(shù)字、符號(hào)。

所以從某種意義上來說，這位挪威網(wǎng)絡(luò)安全專家選擇了一個(gè)博眼球的說辭。那么問題就來了，在技術(shù)層面瀏覽器將密碼明文加載到內(nèi)存里無可指摘，又為何會(huì)引發(fā)熱議呢？這是因?yàn)槲④浀淖龇ㄟ^于傲慢，無視了用戶的知情權(quán)。

大量用戶理解的模式是Chrome的做法，也就是當(dāng)用戶想要打開淘寶時(shí)，瀏覽器從本地存儲(chǔ)中解密淘寶的賬號(hào)密碼，在想要刷微博時(shí)，瀏覽器就解密微博的密碼，而不是每次打開Edge，淘寶、微博、知乎、小紅書的賬號(hào)密碼都會(huì)從“保險(xiǎn)箱”里提取出來。

如果只是這樣也就罷了，偏偏Edge還是Windows 11的預(yù)裝瀏覽器，而且支持從其他瀏覽器導(dǎo)入數(shù)據(jù)，包括收藏夾、歷史記錄、表單數(shù)據(jù)和所保存的賬號(hào)密碼。簡(jiǎn)而言之，有相當(dāng)多用戶可能根本就沒有在Edge上保存賬號(hào)密碼，可Edge的數(shù)據(jù)庫(kù)中就已經(jīng)有了他們的相關(guān)信息。

既然如此，微軟何必要搞這種得罪用戶的操作呢？微軟自己已經(jīng)給了答案，目的是加快終端用戶的登錄和認(rèn)證流程。當(dāng)其他瀏覽器登錄不同網(wǎng)站時(shí)，還需要用戶一遍遍地許可，Edge卻能做到無感登錄，在體驗(yàn)層面確實(shí)拉開了差距。也就是說為了讓用戶更便利，微軟主動(dòng)“幫”用戶無視了某些風(fēng)險(xiǎn)。

微軟這樣的做法也不難理解，畢竟Edge的市場(chǎng)份額實(shí)在是對(duì)不起投入。為進(jìn)一步擴(kuò)大Edge的影響力，微軟可謂是絞盡腦汁，使出了諸如在Windows里給Edge打廣告、用禮品卡吸引用戶使用、黑掉Chrome官網(wǎng)等一系列上不了臺(tái)面的手段。

可是遏制友商產(chǎn)品的曝光度，阻撓Windows用戶安裝其他瀏覽器屬于旁門左道，微軟更是已經(jīng)因此在歐盟、巴西等地惹上了反壟斷官司。可以預(yù)見的是，未來微軟很難再用類似的“奇招”來為Edge獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)，所以從體驗(yàn)層面出發(fā)贏得用戶的好感，反而才是正道。

在微軟看來，Edge直接將用戶存儲(chǔ)的所有密碼一次性加載到內(nèi)存，屬于在性能、可用性和安全性之間取得平衡。可現(xiàn)在已經(jīng)是2026年，大眾對(duì)于個(gè)人隱私的關(guān)注上了好幾個(gè)臺(tái)階。特別是經(jīng)過iOS和Android的教育，大量用戶對(duì)于互聯(lián)網(wǎng)產(chǎn)品使用個(gè)人隱私的方式有了標(biāo)準(zhǔn)答案，那就是按需使用。

無論互聯(lián)網(wǎng)廠商私底下如何使用用戶的隱私，起碼在形式上要給予大家控制自己隱私的感覺，“大家長(zhǎng)式”的包辦已經(jīng)過時(shí)了。歸根結(jié)底，微軟這個(gè)做法在技術(shù)上雖然沒問題，卻也直白地暴露了他們似乎并不太尊重用戶。

【本文圖片來自網(wǎng)絡(luò)】