Kellemetlen biztonsági vita alakult ki a Microsoft Edge jelszókezelője körül, miután Tom Jøran Sønstebyseter Rønning norvég biztonsági kutató bemutatta, hogy a böngésző indulás után olvasható formában töltheti be a memóriába az összes elmentett jelszót. A probléma nem az, hogy a jelszavak a lemezen titkosítatlanul hevernének, mert a Microsoft dokumentációja szerint az Edge ott AES-alapú védelemmel és az operációs rendszer védett kulcstárolásával dolgozik. A gond az, hogy futás közben a böngésző a jelek szerint nemcsak azt a jelszót fejti vissza, amelyre éppen szükség van egy belépéshez, hanem a teljes mentett jelszólistát is betölti olvasható formában a RAM-ba. Ez elsőre technikai részletnek tűnhet, de nagyon nem mindegy. Ha egy támadó vagy rosszindulatú program hozzáfér a gép memóriájához, akkor nemcsak egy adott weboldalhoz tartozó belépési adatokat találhat meg, hanem az összes Edge-ben tárolt jelszót. Rønning szerint ez akkor is megtörténik, ha a felhasználó az adott böngészési munkamenetben soha nem nyitja meg az érintett oldalakat. A kutató egy egyszerű proof of concept eszközt is bemutatott, amely képes megjeleníteni a memóriában lévő jelszavakat és a hozzájuk tartozó fiókadatokat.
A helyzetet súlyosbítja, hogy a viselkedés nem új. A TechSpot szerint Zeev Ben Porat biztonsági kutató már 2022-ben leírta ugyanezt a problémát, vagyis az Edge legalább négy éve így működhet. Amikor Rønning jelentette a megállapításait a Microsoftnak, a vállalat állítólag azt válaszolta, hogy ez "by design", vagyis szándékos működés, és nem olyan sérülékenység, amely azonnali javítást igényelne. Fontos azért pontosan látni a kockázatot. Ettől még nem lehet távolról, egy kattintással kiszedni bárki Edge-ben mentett jelszavait. A támadónak valamilyen szintű helyi hozzáférésre, rosszindulatú programra, kompromittált felhasználói munkamenetre vagy rendszergazdai jogosultságra van szüksége. Ez viszont vállalati, megosztott vagy többfelhasználós gépeken már komolyabb gond lehet, mert egy adminjoggal rendelkező támadó más, bejelentkezve hagyott felhasználók Edge-folyamataiból is megpróbálhat adatot kinyerni.
A kutatók szerint az Edge viselkedése a Chromium-alapú böngészők között is szokatlan. A PC Gamer beszámolója szerint Rønning több böngészőt is tesztelt, és azt állítja, az Edge volt az egyetlen, amely a teljes jelszótárat így, előre visszafejtve tartotta a memóriában. A Chrome ezzel szemben csak akkor fejti vissza a jelszót, amikor arra ténylegesen szükség van, és a hozzáférést erősebben köti a hitelesített Chrome-folyamathoz. A hétköznapi felhasználó számára ebből az a tanulság, hogy a böngészőbe épített jelszókezelő kényelmes, de nem feltétlenül a legjobb hely az összes fontos belépési adat tárolására. A különálló jelszókezelők általában szigorúbb feloldási logikával, külön mesterjelszóval és erősebb hozzáférés-kezeléssel dolgoznak, és nem kötnek minden hitelesítési adatot egyetlen böngészőfiókhoz. Aki Edge-ben tárol jelszavakat, annak érdemes legalább kétlépcsős azonosítást bekapcsolni a fontos fiókoknál, zárolni a gépet, ha feláll mellőle, kerülni a közös felhasználói fiókokat, és megfontolni egy független jelszókezelő használatát.
A Microsoft álláspontja szerint tehát nem klasszikus hibáról, hanem tervezett működésről van szó. A vita éppen ettől kellemetlen: a böngésző papíron titkosítottan tárolja a jelszavakat, a gyakorlatban viszont futás közben olyan formában kezelheti őket, amely egy már kompromittált gépen sokkal nagyobb zsákmányt adhat a támadónak. Ez nem pánikhír, de elég erős figyelmeztetés arra, hogy a jelszókezelésnél a kényelem és a biztonság továbbra sem ugyanaz.
