Η Microsoft παρουσίασε μια ενημερωμένη έκδοση του “Publish API για προγραμματιστές επεκτάσεων Edge” που αυξάνει την ασφάλεια για τους λογαριασμούς προγραμματιστών και την ενημέρωση των επεκτάσεων του προγράμματος περιήγησης.
Κατά την πρώτη δημοσίευση μιας νέας επέκτασης προγράμματος περιήγησης Microsoft Edge, οι προγραμματιστές πρέπει να την υποβάλουν μέσω του Κέντρο συνεργατών. Αφού εγκριθούν, οι επόμενες ενημερώσεις μπορούν να γίνουν μέσω του Κέντρου Συνεργατών ή του Δημοσίευση API.
Ως μέρος του Η πρωτοβουλία της Microsoft για το ασφαλές μέλλονη εταιρεία αυξάνει την ασφάλεια σε όλες τις ομάδες προϊόντων της, συμπεριλαμβανομένης της διαδικασίας δημοσίευσης επεκτάσεων προγράμματος περιήγησης για να αποτρέψει την παραβίαση των επεκτάσεων με κακόβουλο κώδικα.
Με το νέο Publish API, τα μυστικά δημιουργούνται πλέον δυναμικά κλειδιά API για κάθε προγραμματιστή, μειώνοντας τον κίνδυνο έκθεσης στατικών διαπιστευτηρίων σε κώδικα ή άλλες παραβιάσεις.
Αυτά τα κλειδιά API θα αποθηκεύονται πλέον στις βάσεις δεδομένων της Microsoft ως κατακερματισμοί αντί για τα ίδια τα κλειδιά, αποτρέποντας περαιτέρω πιθανή διαρροή των κλειδιών API.
Για περαιτέρω αύξηση της ασφάλειας, οι διευθύνσεις URL διακριτικού πρόσβασης δημιουργούνται εσωτερικά και δεν χρειάζεται να αποστέλλονται από τον προγραμματιστή κατά την ενημέρωση των επεκτάσεών τους. Αυτό βελτιώνει περαιτέρω την ασφάλεια περιορίζοντας τους πρόσθετους κινδύνους από την έκθεση διευθύνσεων URL που θα μπορούσαν να χρησιμοποιηθούν για την προώθηση κακόβουλων ενημερώσεων επεκτάσεων.
Τέλος, το νέο Publish API θα λήγει τα κλειδιά API κάθε 72 ημέρες, σε σύγκριση με τα δύο προηγούμενα χρόνια. Η συχνότερη εναλλαγή μυστικών αποτρέπει τη συνεχιζόμενη κακή χρήση σε περίπτωση που ένα μυστικό αποκαλυφθεί.
Οι προγραμματιστές Edge μπορούν να δοκιμάσουν τη νέα εμπειρία διαχείρισης κλειδιών API στον πίνακα ελέγχου του Κέντρου συνεργατών.
Πηγή: Microsoft
Οι προγραμματιστές θα πρέπει στη συνέχεια να αναδημιουργήσουν το ClientId και τα μυστικά τους και να διαμορφώσουν εκ νέου τυχόν υπάρχουσες αγωγές CI/CD.
Οι προγραμματιστές λογισμικού στοχεύονται συνήθως σε επιθέσεις phishing και σε εκστρατείες κακόβουλου λογισμικού κλοπής πληροφοριών για την κλοπή διαπιστευτηρίων.
Αυτά τα διαπιστευτήρια χρησιμοποιούνται στη συνέχεια για την κλοπή του πηγαίου κώδικα ή για την παραβίαση νόμιμων έργων σε επιθέσεις στην αλυσίδα εφοδιασμού.
Ενώ η Microsoft κάνει αυτήν τη νέα διαδικασία “opt-in” για να ελαχιστοποιήσει τη διακοπή της μετάβασης στο νέο Publish API, δεν θα ήταν έκπληξη το ενημερωμένο Publish API να γίνει υποχρεωτικό στο μέλλον.
“Για να ελαχιστοποιήσουμε τη διακοπή της μετάβασης στο νέο Publish API, έχουμε καταστήσει αυτήν την εμπειρία επιλογής. Αυτό σας επιτρέπει να μεταβείτε στη νέα εμπειρία με τον δικό σας ρυθμό”, καταλήγει Η ανακοίνωση της Microsoft.
“Εάν χρειάζεται, μπορείτε επίσης να εξαιρεθείτε και να επιστρέψετε στην προηγούμενη εμπειρία, αν και ενθαρρύνουμε όλους να μεταβούν στη νέα, πιο ασφαλή εμπειρία το συντομότερο δυνατό.”
“Οι βελτιώσεις ασφαλείας που συνοδεύουν το νέο Publish API θα βοηθήσουν στην προστασία των επεκτάσεών σας και θα βελτιώσουν την ασφάλεια της διαδικασίας δημοσίευσης.”
VIA: bleepingcomputer.com
