Microsoft Edge Extensions: Neue Publish API fĂĽr mehr Sicherheit
Die optionale Publish API bringt vier Neuerungen für das Entwickeln von Edge-Erweiterungen unter erhöhter Sicherheit.
(Bild: PopTika / shutterstock.com)
Microsoft hat für das Entwickeln von Erweiterungen für seinen Web-Browser Edge eine neue Publish API eingeführt. Diese soll Funktionen für eine erhöhte Sicherheit bereitstellen und ist derzeit optional verfügbar.
Die Neuerung findet im Rahmen der Microsoft Secure Future Initiative (SFI) statt. Die SFI besteht seit November 2023 mit dem Ziel, IT-Sicherheitsvorfälle abzumildern beziehungsweise zu verhindern.
Vier neue Security-Features
Wie Microsoft in einem Blogeintrag ausführt, bringt die Publish API vier grundsätzliche Änderungen. Erstens sind Secrets nun API-Schlüssel: Mithilfe der Publish API werden API-Keys automatisch durch Microsofts Backend-Services erstellt, sodass diese ebenso wie die ClientID für jede Entwicklerin und jeden Entwickler neu generiert werden und demnach die Sicherheit erhöhen, da statische Zugangsdaten entfallen. Zweitens ändert sich das API-Key-Management: In der Datenbank werden lediglich Hashes von API-Keys erstellt und gelöscht, sodass sensible Informationen nicht direkt gespeichert werden.
Drittens benötigt die Publish API nicht das Senden einer Access-Token-URL, sondern die URL wird intern generiert – was das Risiko verringert, dass sensible Informationen sichtbar werden. Dabei weist Microsoft darauf hin, dass dies ein Aktualisieren von CI/CD-Pipeline-Konfigurationen erforderlich machen könnte. Und letztlich führt die Publish API als vierte Neuerung ein, dass API-Keys nach 72 Tagen ablaufen. Bisher betrug dieser Zeitraum zwei Jahre. Über das Ablaufen eines API-Key sollen Developer regelmäßig per E-Mail vorgewarnt werden.
Opt-in zur Publish API
Entwicklerinnen und Entwickler, die die Publish API verwenden möchten, können das im Partner Center einstellen. Dort lässt sich die neue API auf freiwilliger Basis als Opt-in-Feature aktivieren. Anschließend sind ClientId und Secrets neu zu generieren, was möglicherweise aktualisierte Authentifizierungs-Workflows nach sich zieht. Danach sind CI/CD-Pipelines zu konfigurieren, sofern sie von den Änderungen bezüglich Access-Token-URL und API-Key betroffen sind.
Aufgrund der erhöhten Sicherheit sind Extension-Entwickler dazu aufgerufen, möglichst bald zur neuen API zu wechseln. Weitere Informationen finden sich im Microsoft-Edge-Blog.
(mai)
