RAMを大量に積んで見つかる確率を下げよう(錯乱)
「設計通り」とかいう無敵の言い訳。ブラウザ起動しただけで全パスがメモリ上で丸裸とか、MSのセキュリティ意識どうなってんの
Edgeのメモリーにアクセスできるようなマルウェアに侵入されてる時点で、もうどうしようもないから
Edgeを利用中に休止状態になったら、パスワードが平文でハイバネーションファイルに保存されちゃうってこと?
バグは夜更け過〜ぎ〜に〜仕様へと変わる〜だ〜ろ〜再現〜ない〜懲〜り〜ない〜
Win11がうんこたれなのでしゃーなし。AIの影響でMS自体がリスクになりそう。
それでも人類はWindowsを使い続けるのであった。めでたしめでたし
実験してる動画を見たが、ローカルPCだとそうでもないが、サーバや仮想マシンだと普通に危険な仕様だわ。
脆弱性とまでは言えないがEdgeのリモートコード実行脆弱性経由で攻撃が成立した場合に被害が大きい上に痕跡がほとんど残らない可能性があり、キーロガー仕込まれたとかに比べてもかなり嫌な状況になってしまう。
そんな頻繁にアクセスするデータでもなかろうに
「セキュリティは多層的に構成する」には反する。けど、物理的にアクセス可能な人を想定して「共有パソコン」だけ注意すればいいのでは?まあ、使う側としてはこういう「丁寧な線引き」を求められるのが面倒だけど。
仕様と言い切って責任回避して後にサイレント修正するパターンかな
ナイスタイミング!!Tomグッジョブやで。ちょうど今日俺のChromeにもGeminiが降りてきた。早速全部移行するわ。自作拡張がちと面倒くさいけど重い腰が上がりそう。ありがとうTom。PWAがー
ストレージに書き出されるとしてもBitLockerで暗号化されてる
マルウェア侵入とは限らん。GitHub公開されたツールの適用ができる、あるいはプロセスメモリのダンプができる程度のお父さんなら娘のパスワードを奪取できちゃうし、ストーカーな管理者がターミナルサーバーから標的の
そもそもメモリアドレスに好き勝手にアクセス可能な仕組みが仕込まれる前提なら、Edgeとか全然関係ないレベルで詰んでる
権限を取得せずにメモリを読み取る攻撃手法はいろいろあるので機密情報の暗号化には意味がある。仮に手法が知られていなくても多層防御は将来の脅威に備える意味がある。
バグを仕様と言い張る伝統的なMicrosoftしぐさ。設計通りというのは設計バグでない言い訳にはならないよ
これ端末開けたまま離席したら終わりということ?自プロセスのメモリは読めるんじゃないのかな。パスワードマネージャの認証に意味がなくなってしまう
とはいえ、中途半端に見た目だけの暗号化をしたとしても解析されてしまうんでね。レジスタに入るまえの瞬間にはどのみち平文になるわけですし。クラッカーの手間がちょい増えるか増えないかぐらいの違いしかない。
デバッガがあればメモリ読めるからねえ。一応Windowsはメモリプロテクションで他のプロセスのメモリは読めないようになってるけど、webブラウザのようにマルチプロセスのはどうなってるのか
俺のターンドロー!降臨せよミュトス!お前のクロース・トゥ・ジ・エッヂが入力補完時に効果発動!メモリダンプエクスプロイト!デッキに隠した平文パスワードを強制召喚!次回FANZA死す!ってことか遊戯王しらんけど
"Microsoft EdgeがChromium系ブラウザの中で唯一この挙動を実装"、ほう。/"攻撃者はシステムへの侵入後にこの手法を活用する。セキュリティコミュニティでは、管理者権限を奪われた時点でシステム全体が危険"、それはそう
「復号化」も普通に使う言葉になった
印象は良くないが脆弱性と呼ぶ程でもないかな。// ThunderbirdのIMAPパスワードがDOMInspectorから丸見えだよと報告したことがあるが普通に仕様だとクローズされたことがある
結局のところ、これが「意図的な設計」ならば、何故他のブラウザより危険な状態にする必要があったのか、一切回答がないのが怖い。
設計通りでも、設計がダメなので早く改修して欲しい
またこの低質サイトがFUD煽ってる
都度復号する仕様とのトレードオフはユーザに気づかれないレベルの入力の差ぐらいで、わざわざセキュアじゃない方に倒す判断が本当に信用できないところ
Microsoft Edgeは全パスワードを平文でRAM保持する:同社は「設計通り」と回答するも漏洩リスクが指摘 | XenoSpectrum
RAMを大量に積んで見つかる確率を下げよう(錯乱)
「設計通り」とかいう無敵の言い訳。ブラウザ起動しただけで全パスがメモリ上で丸裸とか、MSのセキュリティ意識どうなってんの
Edgeのメモリーにアクセスできるようなマルウェアに侵入されてる時点で、もうどうしようもないから
Edgeを利用中に休止状態になったら、パスワードが平文でハイバネーションファイルに保存されちゃうってこと?
バグは夜更け過〜ぎ〜に〜仕様へと変わる〜だ〜ろ〜再現〜ない〜懲〜り〜ない〜
Win11がうんこたれなのでしゃーなし。AIの影響でMS自体がリスクになりそう。
それでも人類はWindowsを使い続けるのであった。めでたしめでたし
実験してる動画を見たが、ローカルPCだとそうでもないが、サーバや仮想マシンだと普通に危険な仕様だわ。
脆弱性とまでは言えないがEdgeのリモートコード実行脆弱性経由で攻撃が成立した場合に被害が大きい上に痕跡がほとんど残らない可能性があり、キーロガー仕込まれたとかに比べてもかなり嫌な状況になってしまう。
そんな頻繁にアクセスするデータでもなかろうに
「セキュリティは多層的に構成する」には反する。けど、物理的にアクセス可能な人を想定して「共有パソコン」だけ注意すればいいのでは?まあ、使う側としてはこういう「丁寧な線引き」を求められるのが面倒だけど。
仕様と言い切って責任回避して後にサイレント修正するパターンかな
ナイスタイミング!!Tomグッジョブやで。ちょうど今日俺のChromeにもGeminiが降りてきた。早速全部移行するわ。自作拡張がちと面倒くさいけど重い腰が上がりそう。ありがとうTom。PWAがー
ストレージに書き出されるとしてもBitLockerで暗号化されてる
マルウェア侵入とは限らん。GitHub公開されたツールの適用ができる、あるいはプロセスメモリのダンプができる程度のお父さんなら娘のパスワードを奪取できちゃうし、ストーカーな管理者がターミナルサーバーから標的の
そもそもメモリアドレスに好き勝手にアクセス可能な仕組みが仕込まれる前提なら、Edgeとか全然関係ないレベルで詰んでる
権限を取得せずにメモリを読み取る攻撃手法はいろいろあるので機密情報の暗号化には意味がある。仮に手法が知られていなくても多層防御は将来の脅威に備える意味がある。
バグを仕様と言い張る伝統的なMicrosoftしぐさ。設計通りというのは設計バグでない言い訳にはならないよ
これ端末開けたまま離席したら終わりということ?自プロセスのメモリは読めるんじゃないのかな。パスワードマネージャの認証に意味がなくなってしまう
とはいえ、中途半端に見た目だけの暗号化をしたとしても解析されてしまうんでね。レジスタに入るまえの瞬間にはどのみち平文になるわけですし。クラッカーの手間がちょい増えるか増えないかぐらいの違いしかない。
デバッガがあればメモリ読めるからねえ。一応Windowsはメモリプロテクションで他のプロセスのメモリは読めないようになってるけど、webブラウザのようにマルチプロセスのはどうなってるのか
俺のターンドロー!降臨せよミュトス!お前のクロース・トゥ・ジ・エッヂが入力補完時に効果発動!メモリダンプエクスプロイト!デッキに隠した平文パスワードを強制召喚!次回FANZA死す!ってことか遊戯王しらんけど
"Microsoft EdgeがChromium系ブラウザの中で唯一この挙動を実装"、ほう。/"攻撃者はシステムへの侵入後にこの手法を活用する。セキュリティコミュニティでは、管理者権限を奪われた時点でシステム全体が危険"、それはそう
「復号化」も普通に使う言葉になった
印象は良くないが脆弱性と呼ぶ程でもないかな。// ThunderbirdのIMAPパスワードがDOMInspectorから丸見えだよと報告したことがあるが普通に仕様だとクローズされたことがある
結局のところ、これが「意図的な設計」ならば、何故他のブラウザより危険な状態にする必要があったのか、一切回答がないのが怖い。
設計通りでも、設計がダメなので早く改修して欲しい
またこの低質サイトがFUD煽ってる
都度復号する仕様とのトレードオフはユーザに気づかれないレベルの入力の差ぐらいで、わざわざセキュアじゃない方に倒す判断が本当に信用できないところ