Microsoft ha dichiarato che modificherà la gestione delle password Edgecome misura di "difesa a più livelli".
Inizialmente, Edge l'intero archivio delle password salvate all'avvio e manteneva tutte le credenziali in memoria di processo in chiaro per l'intera sessione del browser, indipendentemente dal fatto che una determinata credenziale fosse mai stata utilizzata o meno.
Poco tempo fa, Microsoft aveva affermato che questo comportamento relativo alle password in chiaro era previsto. Ora, Microsoft ha cambiato rotta e il nuovo comportamento nella gestione delle password è già presente in Canary (la versione sperimentale di anteprima di Microsoft Edge), con un'implementazione prioritaria su tutti i canali.
Il ricercatore che per primo ha segnalato il problema ha dichiarato:
Edge l'unico browser basato su Chromium che ho provato a comportarsi in questo modo. Al contrario, Chrome un'architettura che rende molto più difficile per gli hacker estrarre le password salvate semplicemente leggendo la memoria del processo.»
Gareth Evans, responsabile Edge Microsoft Edge , ha affermato che Microsoft sta ora adottando una visione più ampia e si è impegnata a modificare Edge che le password salvate non vengano più caricate in memoria all'avvio in formato testo in chiaro. Di conseguenza, l'esposizione sarà ridotta grazie a un miglioramento della difesa a più livelli. Ciò significa che, anche se un malintenzionato dovesse ottenere il controllo amministrativo di un dispositivo, diventerebbe più difficile sottrarre tutte le password.
Secondo Microsoft:
«D'ora in poi, Microsoft Edge non Edge più tutte le password salvate in memoria all'avvio del browser. Le password verranno invece decriptate solo quando necessario per le operazioni di compilazione automatica o di gestione delle password.»
La modifica è già disponibile nel canale Edge e sarà inclusa nel prossimo aggiornamento per tutte Edge supportate Edge (build 148 e successive nei canali Stable, Beta, Dev, Canary ed Extended Stable).
Il motivo di questo cambiamento è probabilmente più legato alla reputazione e alla strategia che al riconoscimento di una vulnerabilità sfruttabile. Microsoft sembra voler allineare la realtà al proprio messaggio di "sicurezza fin dalla progettazione" e ridurre una debolezza molto evidente e facile da dimostrare, anche se continua a non considerarla un classico bug di divulgazione della memoria.
Le password nel browser
Si prega di notare che questa modifica comporta semplicemente Edge un'opzione per la memorizzazione delle password sicura all'incirca quanto qualsiasi altro browser basato su Chromium.
Il gestore di password del tuo browser ti offre una grande praticità, ma comporta alcuni compromessi in termini di sicurezza. Naturalmente, nemmeno i gestori di password sono infallibili, quindi è importante decidere autonomamente dove conservare le tue password.
Se sei sicuro che un sito web sia sicuro e che chiunque acceda tramite il tuo account non possa venire a conoscenza di informazioni riservate, puoi tranquillamente salvare la password nel browser, ma disattiva la funzione di compilazione automatica in modo da mantenere il controllo.
Utilizzal'autenticazione a più fattori (MFA) quando possibile. In questo modo riduci notevolmente il rischio nel caso in cui qualcuno dovesse entrare in possesso della tua password. Inoltre, evita di utilizzare il gestore di password del browser per memorizzare i dati della tua carta di credito o altre informazioni sensibili che consentono l'identificazione personale, come ad esempio le informazioni mediche.
Ammettiamolo, una finestra in incognito ha i suoi limiti.
Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità.
