微軟全新 Publish API 重塑 Edge 擴展安全：密鑰動態(tài)生成、有效期從 2 年縮短至 72 天

IT之家 10 月 1 日消息，科技媒體 bleepingcomputer 昨日（9 月 30 日）發(fā)布博文，報道稱微軟公司升級推出適用于 Microsoft Edge 瀏覽器的 Publish API，增強了開發(fā)者賬戶的安全性，優(yōu)化了瀏覽器擴展的更新體驗。

開發(fā)者首次提交新的 Edge 瀏覽器擴展程序，需要通過 Partner Center 完成，在獲得批準之后，后續(xù)更新可以通過 Partner Center 或者 Publish API 完成。

微軟正積極推進 Secure Future Initiative，從而增強所有產(chǎn)品組的安全性，規(guī)范和優(yōu)化瀏覽器擴展發(fā)布流程，以防止擴展被惡意代碼劫持。

IT之家援引微軟報道，升級后的 Publish API，可以動態(tài)生成 API 密鑰，從而減少了靜態(tài)憑據(jù)在代碼或其他漏洞中被暴露的風險。

這些 API 密鑰不是以密鑰本身的形式，而是以哈希的形式存儲在微軟的數(shù)據(jù)庫中，從而進一步遏制 API 密鑰泄露帶來的影響。

微軟為了進一步提高安全性，內(nèi)部生成訪問令牌 URL，開發(fā)者在更新他們的擴展時無需發(fā)送這些 URL。這進一步通過限制暴露可能用于推送惡意擴展更新的 URL 所帶來的額外風險，來提高安全性。

升級后 Publish API 所生成 API 密鑰有效期僅為 72 天，而此前密鑰有效期為 2 年，更頻繁地更換機密可以防止在機密泄露的情況下繼續(xù)被濫用。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。