Microsoft melhora segurança em sistema de extensões do Edge
A Microsoft integrou algumas mudanças no seu portal de programador para extensões do Edge, que deve fornecer mais segurança tanto para as contas dos programadores, como também para o envio de extensões na plataforma.
Quando os programadores enviam uma extensão que pretendam ter na plataforma de extensões do Edge, estes necessitam primeiro de enviar o pedido pelo “Partner Center”, e quando este for aprovado, as atualizações futuras da extensão podem ser feitas diretamente pelo painel ou via API.
No entanto, a Microsoft encontra-se agora a reforçar a segurança deste processo, evitando que as contas dos programadores possam ser comprometidas, e também evitando que extensões roubadas possam ser maliciosamente adulteradas.
Quando se usa a API para atualizar uma extensão, agora as chaves vão ser criadas de forma dinâmica, evitando que possíveis roubos das mesmas possam levar as extensões a ser comprometidas. Isto permite reforçar a segurança das extensões, e prevenir que chaves antigas que tenham sido maliciosamente acedidas, ou que possam ser sido comprometidas de outras formas, sejam usadas para atualizar silenciosamente as extensões.
Além disso, as chaves de API vão encontrar-se agora encriptadas diretamente nos sistemas da Microsoft, e invés de ficarem apenas guardadas como chaves, vão ainda ser encriptadas com a proteção da empresa para estes dados.
Estas chaves passam ainda a ter uma duração máxima de 72 dias, invés de dois anos, como era até agora possível. Isto previne que chaves desatualizadas e antigas possam ser usadas para ataques.
Tendo em conta que os criadores de extensões são muitas vezes alvo de ataques de phishing, esta medida pode ajudar a prevenir que os dados possam ser comprometidos e usados para enviar extensões maliciosas para a plataforma da Microsoft, por vezes até sem o conhecimento dos autores destas.