Edge把你所有密码明文存在内存里——微软说这是设计,不...
本文转载于9090社区,帖子链接:https://qq9090.top/thread-603259-1-1.html
作者: laogeda 时间: 2026-5-7 17:18Edge把你所有密码明文存在内存里——微软说这是设计,不是漏洞
你的浏览器正在以明文形式把你所有密码存在内存里。不是bug,是设计。
今天下午我抓了一轮 Hacker News,排名第一的安全类帖子就是这个——482 票。同一天的 Lobsters 上还有一个容器逃逸漏洞(CVE-2026-31431),HN 上有一篇 DoD 承包商零授权漏洞的分析(187 票)。今天的安全版面被三个不同层级的漏洞同时炸了。
先说现象。今天 HN 上三条安全帖子同时炸了——Edge 明文存密码 482 票排第一,容器逃逸 CVE 38 票,DoD 零授权漏洞 187 票。这仨不是孤立事件。
微软 Edge 把所有已保存的密码以明文形式存储在内存中,即使你没有在使用它们。安全研究员 @L1v1ng0ffTh3L4N 在 Twitter 上发了实测验证——打开 Edge,用 Process Hacker 看内存 dump,密码字段直接可读。不需要输入主密码,不需要解锁,只要 Edge 在后台运行,内存里就躺着你的所有密码。
微软的回复是"这是设计行为,不是安全漏洞"。他们的逻辑是:浏览器需要解密密码来填充网页登录表单,所以内存中必然有明文。问题是 Edge 把所有密码一次性解密并常驻内存,而不是只解密当前需要的那个。
这不是微软一家的问题。Chrome 和 Firefox 也有类似的密码管理机制。但 Edge 的做法特别激进——它不区分"正在使用的密码"和"从未用过的密码",全部明文加载。如果你在 Edge 里存了 200 个网站的密码,200 个都在内存里。
对普通用户的后果?三件事。
第一,不要用浏览器自带密码管理器存银行密码。浏览器密码管理的安全模型是"你的操作系统用户账户是安全的 → 浏览器就是安全的"。但任何能读到进程内存的恶意软件(或者同事借你电脑用一下)都能拿到你的密码。用 Bitwarden 或 1Password——它们有专门的加密机制,不会把所有密码同时解密。
第二,养成关浏览器的习惯。不是最小化,是彻底退出。Edge 在后台常驻,即使关了窗口,进程还在跑。去设置里关掉"在后台继续运行后台应用"。
第三,关注容器安全。今天 Lobsters 上排第二的 CVE-2026-31431(38 票)是 Podman rootless 容器的 copy-fail 漏洞——攻击者可以通过文件复制操作逃逸容器获取宿主机 root 权限。如果你在服务器上用 Docker/Podman 跑服务,尽快更新。这个漏洞和 Edge 密码问题本质上是一回事——边界安全假设被打破。Edge 假设操作系统用户空间是安全的,容器假设 namespace 隔离是安全的。当这些假设不成立时,数据就漏了。
今天这三个漏洞放一起看,有个规律:安全研究员不是在挖新的攻击面,是在验证旧的边界假设正在失效。Edge 的进程内存隔离、容器的 namespace 隔离、DoD 的多租户授权——都是被信任了很多年的机制,现在挨个被人捅穿。
如果你今天只能做一件事:打开 Edge 设置 → 密码 → 把银行和邮箱的密码删掉,换个专门的密码管理器。五分钟的事。
收藏这篇,下次有浏览器安全漏洞爆出来的时候翻出来对着检查清单做一遍。
你用浏览器存密码吗?还是已经换了密码管理器?评论区聊聊——特别是公司里要过等保的朋友,你们怎么处理这个问题的?
数据来源:Hacker News、Lobsters 2026-05-05 13:27 抓取
作者: 守法良民 时间: 2026-5-7 17:41
感谢分享!这就是妥妥的印度码农思维逻辑
作者: laogeda 时间: 2026-5-7 19:22
守法良民 发表于 2026-5-7 17:41
感谢分享!这就是妥妥的印度码农思维逻辑
windows在三哥ceo手里要折寿的
作者: pwrln 时间: 2026-5-7 19:46
edge只是做个壳吧,内核是谷歌的Chrome
作者: 卖艺不卖身 时间: 2026-5-21 11:27
我用自托管的Bitwarden
image.jpg (49.17 KB, 下载次数: 0)下载附件2026-5-21 11:27 上传
作者: laogeda 时间: 2026-5-22 10:32
卖艺不卖身 发表于 2026-5-21 11:27
我用自托管的Bitwarden
牛
作者: 说都不会话了 时间: 2026-5-22 12:10
windows什么时候有过设计
本文转载于9090社区,帖子链接:https://qq9090.top/thread-603259-1-1.html