用户即资产,无疑是互联网行业的底层逻辑。为了将访客转化为用户,几乎所有互联网产品都在努力让你注册账号。当每一个互联网产品都需要我们的账户和密码后,如何管理这些信息就成了一个问题。为此有相当多人选择了浏览器的“记住密码”功能,省去每次上淘宝、小红书、知乎等网站时输入密码的步骤。
那么在浏览器记住了你的账号密码后,它们会妥善保管吗?由于互联网厂商视用户隐私于无物的案例实在太多,所以相信不少人都有类似的疑问。日前,一位挪威网络安全研究专家宣称,他发现微软Edge浏览器会在启动时将所有已保存的密码以明文形式加载到内存中,即便用户全程并未访问需要相关信息的网站,也不会将其清除。
按照这位网络安全专家的说法,Edge浏览器的这一做法在主流浏览器中极为罕见。在他测试的所有基于Chromium内核的浏览器里,Edge是唯一采用该设计的产品。
有趣的是,当他将这个问题反馈给微软后,后者给出了这一设计是有意为之的回复,并表示“浏览器在内存中访问密码数据是为了帮助用户快速、安全地登录,这是应用程序的预期功能。”而在解释如何避免攻击者读取用户设备的内存,从而获取全部明文密码时,微软的说法是建议用户及时更新系统补丁。
其实从技术层面来看,微软对此敷衍了事并非出于大企业病,而是这个问题并不会立刻导致用户的密码泄露。以目前Edge在浏览器市场超过10%的份额,用户密码保护脆弱就会直接转化为黑客组织实质性的攻击,所以除非认为微软能在互联网世界只手遮天,否则Edge泄露用户密码的丑闻早就曝光了。
Edge将密码以明文形式加载到内存的行为要造成不良后果,需要先获取设备的本地访问权限,而一般的网站则不可能得到进程内存的读取能力。假如黑客已经获取了设备的本地访问权限,除非从未使用过浏览器的“记住密码”功能,否则也阻止不了密码泄露。
虽然有人用Chrome来进行对比,因为Chrome的策略是仅在用户通过密码管理器或自动填充菜单请求查看密码时,才会将其以明文形式加载到内存中。但这里要为Edge鸣不平,因为在浏览器启动时一次性加载密码与浏览过程中按需加载,其实在本质上并没有什么区别。
想要实现浏览器自动帮助用户填充账号密码,密码就一定会在填充到网站登录框时以明文状态出现。如若不然,网站又怎么能知道浏览器填充了正确的密码。
简而言之,浏览器是以AES加密的方式将用户的账号密码存储在硬盘上,密钥则是由操作系统安全存储区域保护,但无论如何,当用户登录相关网站时,被加密的密码必然就会被解密,然后由浏览器代你填入具体的字母、数字、符号。
所以从某种意义上来说,这位挪威网络安全专家选择了一个博眼球的说辞。那么问题就来了,在技术层面浏览器将密码明文加载到内存里无可指摘,又为何会引发热议呢?这是因为微软的做法过于傲慢,无视了用户的知情权。
大量用户理解的模式是Chrome的做法,也就是当用户想要打开淘宝时,浏览器从本地存储中解密淘宝的账号密码,在想要刷微博时,浏览器就解密微博的密码,而不是每次打开Edge,淘宝、微博、知乎、小红书的账号密码都会从“保险箱”里提取出来。
如果只是这样也就罢了,偏偏Edge还是Windows 11的预装浏览器,而且支持从其他浏览器导入数据,包括收藏夹、历史记录、表单数据和所保存的账号密码。简而言之,有相当多用户可能根本就没有在Edge上保存账号密码,可Edge的数据库中就已经有了他们的相关信息。
既然如此,微软何必要搞这种得罪用户的操作呢?微软自己已经给了答案,目的是加快终端用户的登录和认证流程。当其他浏览器登录不同网站时,还需要用户一遍遍地许可,Edge却能做到无感登录,在体验层面确实拉开了差距。也就是说为了让用户更便利,微软主动“帮”用户无视了某些风险。
微软这样的做法也不难理解,毕竟Edge的市场份额实在是对不起投入。为进一步扩大Edge的影响力,微软可谓是绞尽脑汁,使出了诸如在Windows里给Edge打广告、用礼品卡吸引用户使用、黑掉Chrome官网等一系列上不了台面的手段。
可是遏制友商产品的曝光度,阻挠Windows用户安装其他浏览器属于旁门左道,微软更是已经因此在欧盟、巴西等地惹上了反垄断官司。可以预见的是,未来微软很难再用类似的“奇招”来为Edge获取市场竞争优势,所以从体验层面出发赢得用户的好感,反而才是正道。
在微软看来,Edge直接将用户存储的所有密码一次性加载到内存,属于在性能、可用性和安全性之间取得平衡。可现在已经是2026年,大众对于个人隐私的关注上了好几个台阶。特别是经过iOS和Android的教育,大量用户对于互联网产品使用个人隐私的方式有了标准答案,那就是按需使用。
无论互联网厂商私底下如何使用用户的隐私,起码在形式上要给予大家控制自己隐私的感觉,“大家长式”的包办已经过时了。归根结底,微软这个做法在技术上虽然没问题,却也直白地暴露了他们似乎并不太尊重用户。
【本文图片来自网络】
