Microsoft Edge оказался в центре скандала из‑за нестандартного подхода к хранению паролей в памяти устройства. Исследователь Том Йоран Сёнстебисетер Рённинг обнаружил: браузер расшифровывает все сохранённые логины и пароли сразу при запуске и держит их в открытом виде в своём процессе до полного закрытия сессии. Это отличает Edge от других браузеров на движке Chromium, например Chrome, который раскрывает пароль лишь в момент реального использования — при автозаполнении формы или просмотре записи пользователем.
Обычному человеку бояться нечего: случайный сайт или приложение не получит доступ к этим данным. Однако если злоумышленник уже способен читать память процессов (например, через инфостилер или при наличии административных прав), задача кражи упрощается до предела. Ему не нужно ждать, пока жертва откроет нужный сайт, — достаточно снять дамп из работающего Edge. Особенно опасна ситуация на терминальных серверах и общих рабочих станциях, где с повышенными привилегиями можно читать память сеансов других пользователей.
Microsoft ответила, что всё работает «по замыслу» — это сознательный компромисс между скоростью работы и безопасностью. Компания указывает: атакующий с доступом к памяти устройства уже захватил систему, а значит, может извлечь секреты и из других браузеров. Однако специалисты не спешат соглашаться. Разница в поведении браузеров критична для корпоративной защиты: чем дольго пароль висит в памяти, тем шире окно для постэксплуатационных инструментов и внутренних нарушителей.
Пользоваться Edge не запрещено, но полагаться на его встроенный менеджер паролей как на единственный барьер — рискованно. Для компаний с терминальными серверами и VDI находка становится поводом запретить браузерное хранение паролей. Безопасная альтернатива включает отдельные менеджеры паролей, обязательную многофакторную аутентификацию и переход на passkeys там, где это возможно.