Microsoft Edge: migliorata sicurezza per le estensioni del browser

Microsoft ha introdotto una versione aggiornata di "Publish API for Edge extension developers" che aumenta la sicurezza per gli account degli sviluppatori e l'aggiornamento delle estensioni del browser. Quando si pubblica per la prima volta una nuova estensione del browser Microsoft Edge, gli sviluppatori devono inviarla tramite il Partner Center. Una volta approvati, gli aggiornamenti successivi possono essere eseguiti tramite il Partner Center o la Publish API. Come parte della Secure Future Initiative di Microsoft, l'azienda sta aumentando la sicurezza in tutti i suoi gruppi di prodotti, incluso il processo di pubblicazione delle estensioni del browser per impedire che le estensioni vengano dirottate con codice dannoso.

Con la nuova Publish API, le chiavi API ora vengono generate dinamicamente per ogni sviluppatore. Ciò riduce il rischio che credenziali statiche vengano esposte nel codice o in caso di violazioni.  Queste saranno ora memorizzate nei database di Microsoft come hash, invece che come chiavi in chiaro, prevenendo ulteriormente il rischio di fuoriuscite delle chiavi API. Per aumentare ulteriormente la sicurezza, gli URL dei token di accesso vengono generati internamente e non devono essere inviati dallo sviluppatore quando aggiorna le estensioni. Questo migliora la sicurezza limitando i rischi di esposizione di URL che potrebbero essere utilizzati per spingere aggiornamenti dannosi delle estensioni. Infine, la nuova Publish API farà scadere le chiavi API ogni 72 giorni, rispetto ai precedenti due anni. La rotazione più frequente delle chiavi previene un uso continuato in caso di esposizione di una chiave.

Microsoft Edge: nuova Publish API opzionale per gli sviluppatori

Gli sviluppatori di Microsoft Edge possono provare la nuova esperienza di gestione delle chiavi API nella dashboard del Partner Center. Sarà necessario rigenerare il proprio ClientId e le chiavi e riconfigurare tutte le pipeline CI/CD esistenti. Gli sviluppatori di software sono comunemente presi di mira da attacchi di phishing e campagne di malware che rubano informazioni per rubare credenziali. Queste credenziali vengono quindi utilizzate per rubare codice sorgente o compromettere progetti legittimi in attacchi alla supply chain. Mentre Microsoft sta attualmente rendendo questo nuovo processo "opt-in" per ridurre al minimo l'interruzione del passaggio alla nuova API di pubblicazione.

Come riportato da Microsoft sul suo blog ufficiale: "per ridurre al minimo l'interruzione del passaggio alla nuova Publish API, abbiamo reso questa un'esperienza di opt-in. Ciò ti consente di passare alla nuova esperienza al tuo ritmo. Se necessario, puoi anche rinunciare e tornare all'esperienza precedente, anche se incoraggiamo tutti a passare alla nuova esperienza, più sicura, il prima possibile. I miglioramenti della sicurezza in arrivo con la nuova API di pubblicazione ti aiuteranno a proteggere le tue estensioni e a migliorare la sicurezza del processo di pubblicazione". Sebbene l’azienda di Redmond non si sia ancora sbilanciata, è possibile che, in futuro, la Publish API aggiornata possa diventare obbligatoria per gli sviluppatori.