加载失败
这场争论源自一则指称 Microsoft Edge(基于 Chromium 的浏览器)会把已保存密码以明文形式留在内存中的安全贴文。焦点不在磁盘是否加密,而在浏览器自动填充、登录网页时必须把密码解密出来,否则无法把凭据交给网站;因此只要本地进程、调试器或内存泄露漏洞存在,就可能读到这些数据。评论不断把 Edge、Chrome、Firefox、KeePass、Bitwarden、Windows Hello、DPAPI、Credential Guard、TPM 放在同一张图里比较,讨论的是桌面操作系统里同用户进程隔离到底有多脆弱。话题也顺势延伸到 passkeys(基于公钥的无密码登录)是否应该取代传统密码,以及在设备丢失、出差和账号恢复场景下,安全和可用性如何平衡。
不少评论认为这并不是 Edge 的独门问题,而是所有浏览器和多数密码管理器的共同现实:密码在自动填充或登录时必须被还原成明文,随后就可能留在进程内存里。有人直接引用 Chromium threat model,指出一旦攻击者已经拿到同一用户上下文、管理员权限或能读进程内存,浏览器几乎不再构成独立防线。Firefox、Bitwarden、KeePass 也被拿来类比,核心观点是没有 OS 级隔离时,所谓“内存里有明文”只是运行时必然结果,而不是 Edge 特有的设计失误。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7]
另一派不接受“反正都被攻破了”的二元论,认为减少明文驻留时间仍然能提高门槛。有人建议用 guard page、只在真正使用某个密码时才解密、或把 vault 放到独立进程中按需取用,这样即便出现内存泄露、浏览器漏洞或误触 dump,也不至于直接拿到整个密码库。评论还提到用 biometrics 或物理确认来授权单次使用,可以把风险压缩到很短的窗口。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
支持这条报警的人举了很多现实场景:浏览器可被利用的内存读取漏洞、同用户下的恶意进程、未锁屏离开电脑几分钟、甚至物理接触后的 cold boot 和 swap file。争论焦点是这些攻击是否需要“完全沦陷”,以及在 desktop OS 上 same-user process isolation 到底有多脆弱。还有人提醒,企业环境里明文密码一旦泄漏,不只是单机失守,还会被拿去做 lateral movement 或钓鱼,影响整个组织。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
讨论很快转向 passkeys、Windows Hello、TPM、Credential Guard 和 VBS 这类硬件绑定方案,支持者认为它们能把秘密放进更小的信任边界里,避免普通进程直接碰到明文。反对者则强调设备丢失、背包被偷、跨国旅行和账号恢复都很麻烦,现实里往往还要准备备用钥匙、备用手机或客服重置流程。也有人吐槽很多网站和应用在强推 passkeys,用户其实并不想把整套登录体系再重做一遍。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9] [来源10] [来源11] [来源12]
不少人建议直接用 KeePass、Bitwarden 或分离出的 vault,而不是依赖浏览器自带密码管理。理由是本地加密数据库、可同步的文件、以及把密码管理器放进独立 VM,都比和浏览器共享同一用户上下文更容易做隔离。另一边也有人提醒,浏览器管理器的现实价值在于方便和跨浏览器兼容,真正难点不是产品名称,而是“密钥必须在用的时候被解密”这一事实。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9]
有人认为标题把“in memory”写成“stores”有点误导,因为读者通常会先理解成磁盘持久存储,而内存里的明文只是运行时加载。也有人觉得这类安全报道很容易变成 Edge 特黑或 rage-bait,实际上更像是对一个普遍存在的设计限制做戏剧化包装。争论里还顺手吐槽了 Microsoft 和安全营销,把很多低概率、强前置条件的漏洞包装成五级火警。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
Chromium threat model: Chromium 对哪些攻击者不承诺防御的边界定义,通常把同用户、本地管理员、能运行任意代码的本地对手排除在外。
DPAPI: Windows 的 Data Protection API,用用户或系统凭据来加密数据,常用于保护浏览器和应用存储的秘密。
Credential Guard: Windows 的虚拟化隔离功能,用 VBS 把 NTLM、Kerberos 等凭据放进更受保护的区域。
passkeys: 基于公钥的登录方式,用设备密钥替代可重放的密码,常配合生物识别或硬件密钥。
PAGE_GUARD / guard page: Windows 内存页保护机制,访问时触发一次性异常,可用于临时保护敏感数据或检测越界访问。
TPM/VBS: Trusted Platform Module 与 Virtualization-based Security 的组合,常用来把密钥和凭据隔离到硬件或虚拟化边界内。