A Microsoft introduziu uma versão atualizada da "Publish API para desenvolvedores de extensões do Edge" que aumenta a segurança para as contas de desenvolvedores e a atualização das extensões do navegador.
Quando publicam uma nova extensão para o navegador Microsoft Edge pela primeira vez, os desenvolvedores precisam submetê-la através do Partner Center.
Uma vez aprovada, atualizações subsequentes podem ser realizadas tanto pelo Partner Center quanto pela Publish API.
Como parte da Iniciativa Futuro Seguro da Microsoft, a empresa está aumentando a segurança em todos os seus grupos de produtos, incluindo o processo de publicação de extensões para navegador, para prevenir que as extensões sejam sequestradas por código malicioso.
Com a nova Publish API, secrets agora são API keys geradas dinamicamente para cada desenvolvedor, reduzindo o risco de credenciais estáticas serem expostas em código ou outros tipos de violações.
Essas API keys serão agora armazenadas nas bases de dados da Microsoft como hashes, e não mais como as chaves em si, prevenindo ainda mais o possível vazamento das API keys.
Para aumentar ainda mais a segurança, URLs de tokens de acesso são geradas internamente e não precisam ser enviadas pelo desenvolvedor ao atualizar suas extensões.
Isso melhora a segurança ao limitar riscos adicionais de expor URLs que poderiam ser usadas para enviar atualizações maliciosas de extensões.
Por fim, a nova Publish API fará com que API keys expirem a cada 72 dias, em comparação com os dois anos anteriores.
A rotação de secrets mais frequentemente impede o uso contínuo indevido no caso de um secret ser exposto.
Desenvolvedores do Edge podem experimentar a nova experiência de gerenciamento de API key em seu dashboard do Partner Center.
Os desenvolvedores então precisarão regenerar seu ClientId e secrets e reconfigurar quaisquer pipelines de CI/CD existentes.
Desenvolvedores de software são comumente alvo de ataques de phishing e campanhas de malware para roubo de informações para furtar credenciais.
Essas credenciais são então usadas para roubar código-fonte ou comprometer projetos legítimos em ataques à cadeia de suprimentos.
Embora a Microsoft esteja atualmente tornando este novo processo uma opção "opt-in" para minimizar a disrupção da migração para a nova Publish API, não seria surpreendente que a updated Publish API se torne obrigatória no futuro.
"Para minimizar a disrupção da migração para a nova Publish API, tornamos isso uma experiência opt-in.
Isso permite que você faça a transição para a nova experiência no seu próprio ritmo," conclui o anúncio da Microsoft.
Se necessário, você também pode optar por sair e retornar à experiência anterior, embora encorajemos todos a fazerem a transição para a nova experiência, mais segura, o quanto antes.
As melhorias de segurança que acompanham a nova Publish API ajudarão a proteger suas extensões e a melhorar a segurança do processo de publicação.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...