【ITBEAR】微軟近日對適用于 Microsoft Edge 瀏覽器的 Publish API 進(jìn)行了升級,此舉旨在加強(qiáng)開發(fā)者賬戶的安全性并優(yōu)化瀏覽器擴(kuò)展的更新流程。
新推出的 Publish API 功能允許動態(tài)生成 API 密鑰,降低了靜態(tài)憑據(jù)在代碼或其他安全漏洞中被暴露的風(fēng)險。這些密鑰并非直接存儲,而是以哈希形式保存在微軟數(shù)據(jù)庫中,進(jìn)一步減少了密鑰泄露的潛在影響。
微軟還改進(jìn)了密鑰的有效期,從原先的2年縮短至72天。這一變化意味著密鑰將更頻繁地更新,從而在密鑰泄露的情況下限制了其被濫用的時間窗口。
作為 Secure Future Initiative 的一部分,微軟致力于提升所有產(chǎn)品的安全性。此次對 Edge 瀏覽器擴(kuò)展發(fā)布流程的改進(jìn),也是為了防止惡意代碼劫持?jǐn)U展,確保用戶的安全瀏覽體驗(yàn)。
開發(fā)者在首次提交 Edge 瀏覽器擴(kuò)展程序時,需通過 Partner Center 進(jìn)行,獲批后則可選擇通過 Partner Center 或新的 Publish API 完成后續(xù)更新。
微軟內(nèi)部生成的訪問令牌 URL 在更新擴(kuò)展時無需發(fā)送,這減少了可能用于推送惡意更新的 URL 暴露風(fēng)險,為開發(fā)者提供了又一層安全保障。