本文转载于9090社区，帖子链接：https://qq9090.top/thread-603259-1-1.html

作者: laogeda    时间: 2026-5-7 17:18
Edge把你所有密码明文存在内存里——微软说这是设计，不是漏洞


你的浏览器正在以明文形式把你所有密码存在内存里。不是bug，是设计。



今天下午我抓了一轮 Hacker News，排名第一的安全类帖子就是这个——482 票。同一天的 Lobsters 上还有一个容器逃逸漏洞（CVE-2026-31431），HN 上有一篇 DoD 承包商零授权漏洞的分析（187 票）。今天的安全版面被三个不同层级的漏洞同时炸了。



先说现象。今天 HN 上三条安全帖子同时炸了——Edge 明文存密码 482 票排第一，容器逃逸 CVE 38 票，DoD 零授权漏洞 187 票。这仨不是孤立事件。



微软 Edge 把所有已保存的密码以明文形式存储在内存中，即使你没有在使用它们。安全研究员 @L1v1ng0ffTh3L4N 在 Twitter 上发了实测验证——打开 Edge，用 Process Hacker 看内存 dump，密码字段直接可读。不需要输入主密码，不需要解锁，只要 Edge 在后台运行，内存里就躺着你的所有密码。



微软的回复是"这是设计行为，不是安全漏洞"。他们的逻辑是：浏览器需要解密密码来填充网页登录表单，所以内存中必然有明文。问题是 Edge 把所有密码一次性解密并常驻内存，而不是只解密当前需要的那个。



这不是微软一家的问题。Chrome 和 Firefox 也有类似的密码管理机制。但 Edge 的做法特别激进——它不区分"正在使用的密码"和"从未用过的密码"，全部明文加载。如果你在 Edge 里存了 200 个网站的密码，200 个都在内存里。



对普通用户的后果？三件事。



第一，不要用浏览器自带密码管理器存银行密码。浏览器密码管理的安全模型是"你的操作系统用户账户是安全的 → 浏览器就是安全的"。但任何能读到进程内存的恶意软件（或者同事借你电脑用一下）都能拿到你的密码。用 Bitwarden 或 1Password——它们有专门的加密机制，不会把所有密码同时解密。



第二，养成关浏览器的习惯。不是最小化，是彻底退出。Edge 在后台常驻，即使关了窗口，进程还在跑。去设置里关掉"在后台继续运行后台应用"。



第三，关注容器安全。今天 Lobsters 上排第二的 CVE-2026-31431（38 票）是 Podman rootless 容器的 copy-fail 漏洞——攻击者可以通过文件复制操作逃逸容器获取宿主机 root 权限。如果你在服务器上用 Docker/Podman 跑服务，尽快更新。这个漏洞和 Edge 密码问题本质上是一回事——边界安全假设被打破。Edge 假设操作系统用户空间是安全的，容器假设 namespace 隔离是安全的。当这些假设不成立时，数据就漏了。



今天这三个漏洞放一起看，有个规律：安全研究员不是在挖新的攻击面，是在验证旧的边界假设正在失效。Edge 的进程内存隔离、容器的 namespace 隔离、DoD 的多租户授权——都是被信任了很多年的机制，现在挨个被人捅穿。



如果你今天只能做一件事：打开 Edge 设置 → 密码 → 把银行和邮箱的密码删掉，换个专门的密码管理器。五分钟的事。



收藏这篇，下次有浏览器安全漏洞爆出来的时候翻出来对着检查清单做一遍。



你用浏览器存密码吗？还是已经换了密码管理器？评论区聊聊——特别是公司里要过等保的朋友，你们怎么处理这个问题的？



数据来源：Hacker News、Lobsters 2026-05-05 13:27 抓取

---

作者: 守法良民    时间: 2026-5-7 17:41
感谢分享！这就是妥妥的印度码农思维逻辑

---

作者: laogeda    时间: 2026-5-7 19:22
守法良民 发表于 2026-5-7 17:41
感谢分享！这就是妥妥的印度码农思维逻辑


windows在三哥ceo手里要折寿的

---

作者: pwrln    时间: 2026-5-7 19:46
edge只是做个壳吧，内核是谷歌的Chrome

本文转载于9090社区，帖子链接：https://qq9090.top/thread-603259-1-1.html