TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.

Tutte le password salvate in Microsoft Edge restano in memoria del browser in chiaro per l’intera durata della sessione, non solo quella del sito su cui si sta effettuando il login. La scoperta arriva dal ricercatore norvegese Tom Jøran Sønstebyseter Rønning, che ha pubblicato un video dimostrativo e ha contattato Microsoft. La risposta dell’azienda, come riporta anche PCWorld, è che il comportamento non è un bug ma una scelta di design intenzionale.

// affiliato ▸ AdGuard · Il blocco pubblicità più completo · Scarica gratis →

Solo Edge tra i browser Chromium

Rønning ha testato Chrome, Brave, Vivaldi, Opera ed Edge. Tutti gli altri browser basati su Chromium decifrano una singola password nel momento in cui serve, per esempio quando l’utente accede al sito corrispondente; Edge invece carica l’intero archivio in memoria all’apertura, indipendentemente dal fatto che le credenziali servano in quella sessione.

Il problema è stato riprodotto anche da Rob VandenBrink del SANS Internet Storm Center, che ha mostrato come basti generare un dump di memoria del processo Edge, senza privilegi particolari, per leggere tutte le credenziali. La schermata che chiede la riautenticazione prima di mostrare una password salvata diventa quindi più scenografica che protettiva, visto che il processo del browser ha già tutto in chiaro.

Il rischio reale, soprattutto in ambienti condivisi

Un utente con accesso locale al proprio computer, e in particolare un eventuale malware che gira con i suoi stessi privilegi, può estrarre l’intero archivio di password senza decifrare nulla. La situazione si fa pesante in contesti come terminal server, desktop remoti, infrastrutture VDI o macchine multiutente, dove un account amministratore compromesso può raccogliere le credenziali di tutte le sessioni in cui Edge è rimasto aperto, comprese quelle disconnesse.

Un dettaglio rende la scelta di Microsoft ancora meno comprensibile. Circa un anno fa l’azienda ha rimosso la gestione password da Microsoft Authenticator, spingendo chi usava quella funzione a salvare le credenziali direttamente in Edge. Gli utenti che hanno seguito quel percorso si trovano ora con un archivio leggibile in memoria a ogni avvio del browser.

Cosa conviene fare

Chi ha salvato password in Edge può limitare il rischio in pochi passaggi: disattivare il password manager del browser, esportare le credenziali e importarle in un gestore dedicato, infine eliminare quelle ancora presenti in Edge. È anche il momento giusto per cambiare le password più sensibili e attivare l’autenticazione a due fattori dove possibile.

Per chi cerca un’alternativa con cifratura end-to-end, supporto a passkey e codici 2FA integrati, una delle opzioni più solide del settore è Proton Pass

Rønning ha annunciato che pubblicherà su GitHub uno strumento per consentire a chiunque di verificare in autonomia se le proprie password Edge sono leggibili in memoria.