Norský bezpečnostní odborník Tom Jøran Sønstebyseter Rønning objevil vážnou bezpečnostní mezeru ve webovém prohlížeči Microsoft Edge. Ten totiž drží v paměti uživatelská hesla v čitelné podobě, i když je uživatel vůbec nepotřebuje použít.
Místní proces spuštěný pod stejným uživatelem pak může z paměti prohlížeče snadno získat všechna uložená hesla, a to i v případě, že nebyla během dané relace vůbec použita. Útočníci je mohou jednoduše načíst a zkopírovat v prostém textu. Rønning to přímo předvádí v praxi.
Takové chování je u správců hesel velmi neobvyklé, typicky jsou hesla uložena v zašifrované podobě a dešifrují se až ve chvíli, kdy je uživatel potřebuje. Edge sice při procházení hesel ve svém rozhraní vyžaduje od uživatele hesla, ale to je jen velmi slabá ochrana, protože je možné hesla z paměti přečíst i bez hesla.
Rønning se svým zjištěním kontaktoval společnost Microsoft a obdržel nečekanou odpověď. Jedná se prý o „záměrné designové rozhodnutí“, nikoli o chybu. Firma ale nevysvětlila, jaký přínos má pro uživatele uložení hesel v otevřené podobě.
(Upozornil Igor Bakša.)
