2 min Security

Microsoft verhoogt weerbaarheid externe Edge-extensies tegen hacks

Microsoft verhoogt weerbaarheid externe Edge-extensies tegen hacks

Microsoft heeft onlangs een nieuwe versie van zijn Publish API for Edge geïntroduceerd die zich richt op externe ontwikkelaars van browser-extensies. De geüpdatete versie moet verhoogde security brengen naar de accounts van deze ontwikkelaars en het updateproces voor hun extensies.

Via de nieuwe versie van de Publish API voor Edge stimuleert de techgigant ontwikkelaars iedere nieuwe ontwikkelde extensie eerst door te sturen naar het Partner Center. Wanneer de extensie daar is goedgekeurd, kunnen verdere updates voor de extensies via Partner Center of de Publish API worden doorgevoerd.

De nieuwe Publish API zorgt er daarnaast voor dat secrets nu standaard voor iedere ontwikkelaar dynamisch gegenereerde API keys worden. Dit moet statische inloggegevens voorkomen die hackers in de code of bij andere datalekken kunnen achterhalen. De dynamische API keys worden in databases van Microsoft opgeslagen als hashes in plaats van de keys zelf. Ook om lekken tegen te gaan, zegt de techgigant.

Misbruik tegenhouden of beperken

Verder verbetert Microsoft de security van externe Edge-extensies door het intern genereren van de access token URL’s. Deze hoeven daarnaast niet door de ontwikkelaars te worden verzonden als zij hun extensies een update geven. Dit gaat andere risico’s voor het blootstellen van URL’s worden tegen, zoals het gebruik van deze URL’s voor het pushen van kwaadaardige extensie-updates.

Als laatste nieuwe securityfeature zorgt de update van de Publish API ervoor dat de API keys iedere 72 dagen verlopen. Eerder was dat iedere twee jaar. Het vaker roteren van secrets zorgt ervoor dat langdurend misbruik wanneer een secret is blootgesteld, wordt voorkomen.

Nu nog opt-in

De nieuwe securityfeatures in Publish API zijn onderdeel van het Microsoft Security Initiative. Met dit programma geeft de techgigant over zijn hele productenportfolio een update aan de securityfeatures. De nieuwe securityfeatures in Publish API zijn op dit moment nog opt-in, maar het is natuurlijk niet geheel ondenkbaar dat deze in een kwestie van tijd voor externe ontwikkelaars van de browser-extensies verplicht worden.

Microsoft is overigens niet de enige browseraanbieder die de security van zijn browser-extensies opvoert. Google is hard bezig zijn programma Manifest V3 uit te rollen waaraan alle Chrome-extensies moeten voldoen. Veel tienduizenden extensies voldoen nog steeds niet aan deze security- en prestatievereisten wat in de toekomst voor veel gebruikers problemen kan opleveren.

Lees ook: Microsoft Edge test browserextensies op prestatieproblemen