Microsoft vernieuwt beveiliging voor publicatie van Edge-extensies
Microsoft heeft een bijgewerkte versie geïntroduceerd van de “Publish API voor Edge-extensieontwikkelaars” om de beveiliging van ontwikkelaarsaccounts en het bijwerken van browerextensies te verbeteren.
Bij het eerst publiceren van een nieuwe Microsoft Edge-browserextensie moeten ontwikkelaars deze indienen via het Partner Center. Nadat deze is goedgekeurd, kunnen daaropvolgende updates worden uitgevoerd via het Partner Center of de Publish API.
Als onderdeel van Microsoft’s Secure Future Initiative verhoogt het bedrijf de beveiliging in al zijn productgroepen, inclusief het publicatieproces voor browserextensies, om te voorkomen dat extensies worden gekaapt met kwaadaardige code.
Met de nieuwe Publish API worden secrets nu dynamisch gegenereerde API-sleutels voor elke ontwikkelaar, wat het risico op blootstelling van statische inloggegevens in de code of andere schendingen vermindert.
Deze API-sleutels worden nu in de databases van Microsoft opgeslagen als hashes in plaats van de sleutels zelf, waardoor mogelijke lekken van de API-sleutels verder worden voorkomen.
Om de beveiliging verder te verhogen, worden access token-URL’s intern gegenereerd en hoeven niet door de ontwikkelaars te worden verstuurd bij het updaten van hun extensies. Dit verbetert de beveiliging verder door aanvullende risico’s van blootstelling aan URL’s die kunnen worden gebruikt om kwaadaardige extensie-updates te pushen, te beperken.
Tot slot zal de nieuwe Publish API API-sleutels elke 72 dagen laten verlopen, vergeleken met de eerder twee jaar. Het vaker roteren van inloggegevens voorkomt doorlopend misbruik in het geval dat een inloggegeven is blootgesteld.
Edge-ontwikkelaars kunnen de nieuwe API-sleutelbeheer-ervaring uitproberen op hun Partner Center-dashboard.
Ontwikkelaars moeten vervolgens hun ClientId en secrets opnieuw genereren en bestaande CI/CD-pijplijnen opnieuw configureren.
Softwareontwikkelaars zijn vaak het doelwit van phishingaanvallen en malwarecampagnes om inloggegevens te stelen.
Deze inloggegevens worden vervolgens gebruikt om broncode te stelen of legitieme projecten te compromitteren in supply chain-aanvallen.
Hoewel Microsoft dit nieuwe proces momenteel “opt-in” maakt om de verstoring van de overgang naar de nieuwe Publish API te minimaliseren, zou het niet verrassend zijn als de bijgewerkte Publish API in de toekomst verplicht wordt.
“Om de verstoring van de overgang naar de nieuwe Publish API te minimaliseren, hebben we dit een opt-in-ervaring gemaakt. Dit stelt je in staat om in je eigen tempo over te gaan naar de nieuwe ervaring,” concludeert de aankondiging van Microsoft.
“Indien nodig kun je ook kiezen om uit te stappen en terug te keren naar de vorige ervaring, hoewel we iedereen aanraden om zo snel mogelijk over te schakelen naar de nieuwe, meer veilige ervaring.”
“De beveiligingsverbeteringen die met de nieuwe Publish API komen, zullen helpen je extensies te beschermen en de beveiliging van het publicatieproces te verbeteren.”
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----