Microsoft revizuiește securitatea pentru publicarea extensiilor Edge
Sursă: https://www.bleepingcomputer.com
Microsoft a introdus o versiune actualizată a Publish API for Edge extension developers care sporește securitatea conturilor dezvoltatorilor și actualizarea extensiilor de browser.
La prima publicare a unei noi extensii de browser Microsoft Edge, dezvoltatorii trebuie să o trimită prin intermediul Centrului pentru parteneri. Odată aprobate, actualizările ulterioare pot fi efectuate prin intermediul Centrului pentru parteneri sau al API-ului de publicare.
Ca parte a inițiativei Microsoft Secure Future, compania sporește securitatea în toate grupurile sale de produse, inclusiv în procesul de publicare a extensiilor de browser pentru a preveni preluarea extensiilor cu cod malițios.
Cu noul API Publish, se generează acum în mod dinamic chei API secrete pentru fiecare dezvoltator, reducând riscul expunerii credențialelor statice în cod sau alte încălcări.
Pentru a spori și mai mult securitatea, URL-urile token-urilor de acces sunt generate intern și nu trebuie să fie trimise de către dezvoltatori atunci când își actualizează extensiile.
Acest lucru îmbunătățește în continuare securitatea prin limitarea riscurilor suplimentare de expunere a URL-urilor care ar putea fi utilizate pentru a trimite actualizări de extensii rău intenționate.
Dezvoltatorii Edge pot încerca noua experiență de gestionare a cheilor API în dashboard-ul lor Partner Center.
Dezvoltatorii de software sunt de obicei vizați în atacuri de phishing și în campanii malware privind furtul de informații cu scopul de a sustrage credențialele.
Aceste credențiale sunt apoi utilizate pentru a sustrage codul sursă sau pentru a compromite proiecte legitime în cadrul atacurilor supply chain.
În timp ce Microsoft face în prezent acest nou proces opt-in pentru a minimiza disconfortul de a trece la noul API Publish, nu ar fi surprinzător ca API Publish actualizat să devină obligatoriu în viitor.
Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-overhauls-security-for-publishing-edge-extensions/
