Microsoft ได้เปิดตัว Publish API สำหรับ Developer Edge extension เวอร์ชันอัปเดต ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชี Developer และการอัปเดต extension ของเบราว์เซอร์
เมื่อมีการเผยแพร่ extension เบราว์เซอร์ใน Microsoft Edge ใหม่เป็นครั้งแรก Developer จะต้องส่ง extension ดังกล่าวผ่าน Partner Center เมื่อได้รับการอนุมัติแล้ว การอัปเดตจะดำเนินการผ่าน Partner Center หรือ Publish API
ในส่วนของ Microsoft's Secure Future Initiative ทาง Microsoft กำลังเพิ่มระดับความปลอดภัยให้กับกลุ่มผลิตภัณฑ์ทั้งหมด รวมทั้งกระบวนการ browser extension publishing เพื่อป้องกันไม่ให้ extensions ถูกฝังด้วยโค้ดที่เป็นอันตราย
โดย Publish API ใหม่ที่เป็นความลับจะถูกสร้างเป็นคีย์ API แบบไดนามิกสำหรับ Developer แต่ละคน ซึ่งช่วยลดความเสี่ยงที่ข้อมูล static credentials จะถูกเปิดเผยภายในโค้ด หรือถูกการละเมิดอื่น ๆ
ขณะนี้ API keys เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบ hashes แทนที่จะเป็น keys โดยตรง ซึ่งจะช่วยป้องกันไม่ให้ API keys รั่วไหลได้
เพื่อเพิ่มความปลอดภัยให้มากขึ้น access token URLs จะถูกสร้างขึ้นมา และไม่จำเป็นต้องมีการส่งข้อมูลออกไป ในกรณีที่ Developer มีการอัปเดต extension วิธีนี้ช่วยเพิ่มความปลอดภัย โดยมีการจำกัดความเสี่ยงในการเปิดเผย URL ซึ่งอาจใช้ในการส่งการอัปเดต extension ที่เป็นอันตราย
API ที่มีการเผยแพร่ใหม่นี้ keys จะหมดอายุ ภายใน 72 วัน และเมื่อเทียบกับ 2 ปีก่อนหน้านี้ การ Rotating secrets บ่อยขึ้น จะป้องกันไม่ให้มีการใช้งานในทางที่ผิดในกรณีที่ข้อมูลจะถูกเปิดเผย Developer Edge สามารถลองใช้การจัดการ API key ตัวใหม่ใน Partner Center dashboard ของตนเองได้
ซึ่ง Developer จะต้องสร้าง ClientId และ secrets รวมไปถึงกำหนดค่าไปป์ไลน์ CI/CD ที่มีอยู่ใหม่
Developer ซอฟต์แวร์มักตกเป็นเป้าหมายของการโจมตีแบบฟิชชิง และการโจมตีด้วยมัลแวร์เพื่อขโมยข้อมูล credentials อยู่เสมอ
โดยข้อมูล credentials เหล่านี้จะถูกนำไปใช้เพื่อขโมยโค้ดต้นฉบับ หรือเพื่อโจมตีกระบวนการทำงานของระบบ ในขณะนี้ทาง Microsoft กำลังจัดระเบียบ process ใหม่ในรูปแบบ opt-in เพื่อลดการหยุดชะงักในการย้ายไปใช้ Publish API ใหม่ แต่คงไม่น่าแปลกใจหาก Publish API ที่อัปเดตจะกลายเป็นระบบบังคับในอนาคต
Microsoft ระบุว่า เพื่อลดการหยุดชะงักในการย้ายไปยัง Publish API ใหม่ จำเป็นต้องมีการทำ opt-in experience ซึ่งจะช่วยให้สามารถเปลี่ยนไปใช้ new experience ของตนเองได้ หากจำเป็น ผู้ใช้ยังสามารถยกเลิก และกลับไปใช้วิธีการแบบเดิมได้ แม้ว่าจะมีการสนับสนุนให้ผู้พัฒนาเปลี่ยนไปใช้วิธีการใหม่เนื่องจากมีความปลอดภัยมากกว่าก็ตาม
การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่จะช่วยป้องกัน extension ของผู้ใช้ และเสริมประสิทธิภาพของกระบวนการทำงานมากขึ้น
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น