BIZIT 11 - prvi dan

Microsoft je unapredio bezbednost za objavljivanje Edge ekstenzija

Microsoft je predstavio novu verziju „Publish API for Edge extension developers“ koja poboljšava bezbednost naloga programera i ažuriranja ekstenzija za browser.

PCPress.rs Image

Microsoft je ovaj novi proces trenutno učinio opcionalnim

Kada programeri prvi put objavljuju novu ekstenziju za Microsoft Edge, moraju je poslati putem Partner Centra. Nakon odobrenja, buduća ažuriranja mogu se vršiti kroz Partner Centar ili Publish API.

Kao deo Microsoftove inicijative Secure Future, kompanija povećava bezbednost u svim svojim proizvodima, uključujući proces objavljivanja ekstenzija za browsere, kako bi se sprečilo da ekstenzije budu kompromitovane zlonamernim kodom. Sa novim Publish API-jem, tajne sada predstavljaju dinamički generisane API ključeve za svakog programera, smanjujući rizik od izlaganja statičnih kredencijala u kodu ili drugim propustima.

Ovi API ključevi će sada biti čuvani u Microsoftovim bazama podataka kao hešovi, umesto kao sami ključevi, što dodatno sprečava moguće curenje API ključeva.

Kako bi dodatno poboljšali bezbednost, URL-ovi za pristupne tokene će se generisati interno i programeri ih neće morati slati prilikom ažuriranja svojih ekstenzija. Ovo dodatno smanjuje rizik od izlaganja URL-ova koji bi mogli biti iskorišćeni za ubacivanje zlonamernih ažuriranja ekstenzija.

Na kraju, novi Publish API će isticati API ključeve na svakih 72 dana, u poređenju sa prethodnim periodom od dve godine. Česta rotacija tajni sprečava njihovu dugotrajnu zloupotrebu u slučaju da su kompromitovane. Programeri Edge-a mogu isprobati novo iskustvo upravljanja API ključevima u svom Partner Center dashboard-u. Programeri će morati da regenerišu svoje ClientId i tajne, te da ponovo konfigurišu postojeće CI/CD procese.

Softverski programeri su često mete phishing napada i kampanja sa malverima za krađu informacija, kako bi se ukrali kredencijali.

Ovi kredencijali se zatim koriste za krađu izvornog koda ili kompromitovanje legitimnih projekata u napadima na lance snabdevanja.

Dok je Microsoft ovaj novi proces trenutno učinio opcionalnim kako bi se minimizirali poremećaji pri prelasku na novi Publish API, nije iznenađujuće očekivati da će u budućnosti postati obavezan.

„Da bismo smanjili poremećaj prilikom prelaska na novi Publish API, omogućili smo da ovo bude opcionalno iskustvo. To vam omogućava da pređete na novi sistem svojim tempom,“ zaključuje Microsoftova objava.

„Ako je potrebno, možete se odlučiti da se vratite na prethodno iskustvo, iako ohrabrujemo sve da pređu na novo, sigurnije iskustvo što je pre moguće.“

„Poboljšanja bezbednosti koja dolaze sa novim Publish API-jem pomoći će u zaštiti vaših ekstenzija i unaprediti bezbednost procesa objavljivanja.“

Izvor: Bleepingcomputer

Facebook komentari:
Računari i Galaksija

Leave a Reply

Your email address will not be published. Required fields are marked *