346/67 (IT) ประจำวันพุธที่ 2 ตุลาคม 2567
ไมโครซอฟท์ (Microsoft) ได้เปิดตัว “Publish API” รุ่นอัปเดตสำหรับนักพัฒนาส่วนขยายเบราว์เซอร์ Edge เพื่อเพิ่มความปลอดภัยให้กับบัญชีนักพัฒนาและกระบวนการอัปเดตส่วนขยายบนเบราว์เซอร์ โดยการเปลี่ยนแปลงนี้เป็นส่วนหนึ่งของโครงการ “Secure Future Initiative” ซึ่งมีเป้าหมายเพื่อเสริมสร้างความปลอดภัยให้กับผลิตภัณฑ์ทั้งหมดของบริษัท
การเปลี่ยนแปลงหลักที่เพิ่มเข้ามาใน Publish API ใหม่นี้คือการสร้างคีย์ API แบบไดนามิกที่เป็นเอกลักษณ์สำหรับนักพัฒนาแต่ละคน โดยคีย์เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบแฮช (hash) แทนการจัดเก็บคีย์ตรงๆ ซึ่งช่วยป้องกันการรั่วไหลของข้อมูลได้ดียิ่งขึ้น และยังมีการปรับปรุงกระบวนการสร้าง URL โทเค็นการเข้าถึงใหม่โดยอัตโนมัติ ช่วยลดความเสี่ยงที่ URL เหล่านี้จะถูกเปิดเผยหรือถูกนำไปใช้ในการอัปเดตส่วนขยายที่เป็นอันตราย นอกจากนี้ คีย์ API จะหมดอายุภายใน 72 วัน แทนระยะเวลา 2 ปีตามเวอร์ชันเดิม เพื่อช่วยป้องกันการใช้ข้อมูลประจำตัวในทางที่ผิดในกรณีที่ความลับถูกเปิดเผย นักพัฒนาจะต้องสร้าง ClientId และความลับใหม่ รวมทั้งปรับการตั้งค่าไปป์ไลน์ CI/CD ที่ใช้งานอยู่
Microsoft ระบุว่า ระบบ Publish API ใหม่นี้จะถูกใช้งานในรูปแบบ “เลือกเข้าร่วม” เพื่อให้นักพัฒนามีเวลาเปลี่ยนแปลงไปยังระบบใหม่ตามจังหวะของตนเอง แต่คาดว่าในอนาคต Publish API รุ่นใหม่นี้จะกลายเป็นระบบบังคับใช้อย่างเป็นทางการ ทั้งนี้ การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่ จะช่วยปกป้องส่วนขยายของนักพัฒนาจากการโจมตีแบบฟิชชิ่งและมัลแวร์ ซึ่งเป็นรูปแบบการโจมตีที่มุ่งขโมยข้อมูลประจำตัวของนักพัฒนาและนำไปใช้ในการเจาะโครงการที่ถูกต้องตามกฎหมายหรือโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) โดย Microsoft ย้ำว่านักพัฒนาควรเปลี่ยนมาใช้ Publish API ใหม่โดยเร็วที่สุด เพื่อให้ส่วนขยายของตนปลอดภัยยิ่งขึ้นในอนาคต