Microsoft a introduit une version mise à jour de « l’API de publication pour les développeurs d’extensions Edge » qui augmente la sécurité des comptes de développeurs et la mise à jour des extensions de navigateur.
Lors de la première publication d’une nouvelle extension de navigateur Microsoft Edge, les développeurs doivent la soumettre via le Centre des partenaires. Une fois approuvées, les mises à jour ultérieures peuvent être effectuées via le Centre des partenaires ou l’API de publication.
Dans le cadre de l’initiative Secure Future de Microsoft, l’entreprise renforce la sécurité dans tous ses groupes de produits, y compris le processus de publication des extensions de navigateur pour empêcher les extensions d’être détournées avec du code malveillant.
Avec la nouvelle API de publication, les secrets sont désormais des clés d’API générées dynamiquement pour chaque développeur, ce qui réduit le risque que des informations d’identification statiques soient exposées dans le code ou d’autres violations.
Ces clés d’API seront désormais stockées dans les bases de données de Microsoft sous forme de hachages plutôt que les clés elles-mêmes, empêchant ainsi une éventuelle fuite des clés d’API.
Pour augmenter encore la sécurité, les URL des jetons d’accès sont générées en interne et n’ont pas besoin d’être envoyées par le développeur lors de la mise à jour de leurs extensions. Cela améliore encore la sécurité en limitant les risques supplémentaires d’exposition d’URL qui pourraient être utilisées pour pousser des mises à jour d’extensions malveillantes.
Enfin, la nouvelle API de publication expirera les clés d’API tous les 72 jours, par rapport aux deux années précédentes. La rotation des secrets plus fréquemment empêche une utilisation abusive continue dans le cas où un secret est exposé.
Les développeurs Edge peuvent essayer la nouvelle expérience de gestion des clés API dans leur tableau de bord Partner Center.
Les développeurs devront ensuite régénérer leur identifiant client et leurs secrets et reconfigurer tous les pipelines CI/CD existants.
Les développeurs de logiciels sont généralement ciblés dans les attaques de phishing et les campagnes de logiciels malveillants de vol d’informations pour voler des informations d’identification.
Ces informations d’identification sont ensuite utilisées pour voler du code source ou compromettre des projets légitimes dans des attaques de la chaîne d’approvisionnement.
Alors que Microsoft est en train de rendre ce nouveau processus « opt-in » pour minimiser les perturbations liées au passage à la nouvelle API de publication, il ne serait pas surprenant que l’API de publication mise à jour devienne obligatoire à l’avenir.
« Pour minimiser les perturbations liées au passage à la nouvelle API de publication, nous en avons fait une expérience opt-in. Cela vous permet de passer à la nouvelle expérience à votre rythme », conclut l’annonce de Microsoft.
« Si nécessaire, vous pouvez également vous désinscrire et revenir à l’expérience précédente, bien que nous encouragions tout le monde à passer à la nouvelle expérience, plus sécurisée, dès que possible. »
« Les améliorations de sécurité fournies avec la nouvelle API de publication aideront à protéger vos extensions et à améliorer la sécurité du processus de publication. »