ghacks の記事「ブラウザは、パスワードや機密データを平…
owl483件Windows 10ghacks の記事「ブラウザは、パスワードや機密データを平文でメモリに保存します」
https://www.ghacks.net/2022/06/12/your-browser-stores-passwords-and-sensitive-data-in-clear-text-in-memory/#comment-4523653
を受けて、(問題の深刻さを考慮して)速報性を重視して以下のように報告しました。
https://forums.mozillazine.jp/viewtopic.php?t=19815&p=72065#p72065
コミュニティ(forums.mozillazine.jp)で検証した結果:
Chrome の場合では、新規タブのみを開いている Chrome プロセスからプレーンテキストのログイン情報を確認しました。
Chrome(Chromium 系ウェブブラウザや Vivaldi Mail)のように「ブラウザが、復号した機密データのすべてを、常にメモリ上に展開しておく」方式が、深刻な問題を招きかねないとの記事を追認します。7人が参考になったと回答しています。このレビューは参考になりましたか?
owl483件Firefox の場合では、
パスワードマネージャに保存されたデータが常に平文でメモリに保存されていることは確認できませんでしたが、
「about:logins」ページを開いている間は、ログイン情報が平文でメモリに展開され、タブを閉じるとメモリ内のログイン情報が消去されていました。
そのため、プロセスメモリを奪おうとする悪意のあるプログラムに対して警戒が必要な場面では、about:logins ページを開いたままにしないよう注意する必要がありそうです。
追加で Thunderbird(Firefox ESRとプラットフォームを共有している)を検証しました。
Firefox と同様でした。
「about:logins」ページを開いている間は、ログイン情報が平文でメモリ上に展開されますが、ページを閉じると消えてしまい、残りません。
データを使うときは、メモリ上にあるのが当然なので Firefox と Thunderbird に関しては、深刻な問題はないと判断できます。
ただし、その期間は必要な限り短くするようにした方が良いでしょう。
セキュリティ研究者の Zeev Ben Porat は、CyberArk のブログでフォローアップ記事を公開し、
Go BLUE! A Protection Plan for Credentials in Chromium-based Browsers
https://www.cyberark.com/resources/threat-research-blog/go-blue-a-protection-plan-for-credentials-in-chromium-based-browsers
Chromium-based Browsers での緩和策とこの問題を悪用するさまざまな種類の攻撃について説明しています。