Microsoft reforça segurança para Edge
1 de Outubro de 2024

A Microsoft introduziu uma versão atualizada da "Publish API para desenvolvedores de extensões do Edge" que aumenta a segurança para as contas de desenvolvedores e a atualização das extensões do navegador.

Quando publicam uma nova extensão para o navegador Microsoft Edge pela primeira vez, os desenvolvedores precisam submetê-la através do Partner Center.

Uma vez aprovada, atualizações subsequentes podem ser realizadas tanto pelo Partner Center quanto pela Publish API.

Como parte da Iniciativa Futuro Seguro da Microsoft, a empresa está aumentando a segurança em todos os seus grupos de produtos, incluindo o processo de publicação de extensões para navegador, para prevenir que as extensões sejam sequestradas por código malicioso.

Com a nova Publish API, secrets agora são API keys geradas dinamicamente para cada desenvolvedor, reduzindo o risco de credenciais estáticas serem expostas em código ou outros tipos de violações.

Essas API keys serão agora armazenadas nas bases de dados da Microsoft como hashes, e não mais como as chaves em si, prevenindo ainda mais o possível vazamento das API keys.

Para aumentar ainda mais a segurança, URLs de tokens de acesso são geradas internamente e não precisam ser enviadas pelo desenvolvedor ao atualizar suas extensões.

Isso melhora a segurança ao limitar riscos adicionais de expor URLs que poderiam ser usadas para enviar atualizações maliciosas de extensões.

Por fim, a nova Publish API fará com que API keys expirem a cada 72 dias, em comparação com os dois anos anteriores.

A rotação de secrets mais frequentemente impede o uso contínuo indevido no caso de um secret ser exposto.

Desenvolvedores do Edge podem experimentar a nova experiência de gerenciamento de API key em seu dashboard do Partner Center.

Os desenvolvedores então precisarão regenerar seu ClientId e secrets e reconfigurar quaisquer pipelines de CI/CD existentes.

Desenvolvedores de software são comumente alvo de ataques de phishing e campanhas de malware para roubo de informações para furtar credenciais.

Essas credenciais são então usadas para roubar código-fonte ou comprometer projetos legítimos em ataques à cadeia de suprimentos.

Embora a Microsoft esteja atualmente tornando este novo processo uma opção "opt-in" para minimizar a disrupção da migração para a nova Publish API, não seria surpreendente que a updated Publish API se torne obrigatória no futuro.

"Para minimizar a disrupção da migração para a nova Publish API, tornamos isso uma experiência opt-in.
Isso permite que você faça a transição para a nova experiência no seu próprio ritmo," conclui o anúncio da Microsoft.

Se necessário, você também pode optar por sair e retornar à experiência anterior, embora encorajemos todos a fazerem a transição para a nova experiência, mais segura, o quanto antes.

As melhorias de segurança que acompanham a nova Publish API ajudarão a proteger suas extensões e a melhorar a segurança do processo de publicação.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...