I gestori di password dovrebbero semplificare la vita agli utenti ricordando le loro password e mantenendole al sicuro.
Tuttavia, un ricercatore di sicurezza informatica ha scoperto uno sviluppo piuttosto preoccupante riguardante Microsoft Edge e il comportamento del gestore password del browser net.
Secondo il ricercatore Tom Jøran Sønstebyseter Rønning, Microsoft Edge carica in memoria ogni password salvata all’avvio, in testo normale.
Nell’a discussione su XRønning ha spiegato in dettaglio come le credenziali vengono decrittografate anche se un utente non visita un sito che utilizza il gestore delle password durante la sessione utente.
Questo Tweet non è al momento disponibile. Potrebbe essere in fase di caricamento o è stato rimosso.
“Se un utente malintenzionato ottiene l’accesso amministrativo su un terminal server, può accedere alla memoria di tutti i processi degli utenti registrati”, scrive Rønning.
Velocità della luce mashable
Edge è il browser Net proprietario di Microsoft basato sul progetto open supply Chromium, il codice base sviluppato e gestito da Google. Tuttavia, come condiviso da Rønning, questo problema che coinvolge le credenziali di testo normale non viene visualizzato in altri browser basati su Chromium come Google Chrome.
“Edge è l’unico browser basato su Chromium che ho testato che si comporta in questo modo”, afferma Rønning. “Al contrario, Chrome utilizza un design che rende molto più difficile per gli aggressori estrarre le password salvate semplicemente leggendo la memoria del processo.”
Rønning afferma di aver contattato Microsoft in merito alle sue scoperte prima di rendere pubblica la questione. Secondo il ricercatore di sicurezza informatica, Microsoft ha risposto affermando che questo comportamento in Microsoft Edge period “previsto dalla progettazione”.
Il sito tecnologico tedesco Heis in linea replicato il problema della password. Il sito ha inoltre osservato che, secondo le migliori pratiche consolidate in materia di sicurezza informatica, “le password dovrebbero essere decrittografate solo al momento dell’uso e cancellate dalla memoria poco dopo”.
Knowledge la presunta risposta di Microsoft a Rønning, gli utenti preoccupati per il potenziale problema dovrebbero prendere in considerazione gestori di password alternativi.
Mashable ha contattato Microsoft per ulteriori informazioni sui recenti risultati. Aggiorneremo questo pezzo se avremo risposta.
Argomenti
Sicurezza informatica Microsoft
