Mozilla создала онлайновый сканер для безопасности

Для того, чтобы помочь веб-мастерам лучше защитить свои веб-сайты и пользователей, Mozilla создала онлайновый сканер, который может проверить или веб-серверы имеют лучшие параметры безопасности.

Оно взяло вдохновение из теста SSL сервера от Qualys ‘SSL Labs, которое было по достоинству оценено, и выдвигает на первый план потенциальные слабости. Как сканер QUALYS ‘, Observatory использует систему подсчета очков от 0 до 100 — с возможностью дополнительных бонусных очков — что в переводе на классы от F до A +.

В отличие от теста SSL-сервера, который проверяет только реализацию TLS веб-сайта, Observatory Mozilla сканирует широкий спектр механизмов веб-безопасности. К их числу относятся флаги куки безопасности, Cross-Origin Resource Sharing (CORS), содержание политики безопасности, HTTP Public Key пиннинг, HTTP Strict Transport Security (HSTS), переназначения, целостность, X-Frame-Options, X-XSS-Protection, и многое другое.

Инструмент не только проверяет наличие этих технологий, но также правильно ли они реализуются. Этот инструмент не делает это сканирование на наличие уязвимостей в настоящем коде веб-сайта, то, что уже существует в большом количестве бесплатных и коммерческих инструментов.

В некоторых отношениях, достижение безопасной конфигурации веб-сайта — используя все доступные технологии, разработанные в последние годы производителями браузеров — еще труднее, чем найти и исправить уязвимости кода.

«Эти технологии распространяются на десятки нормативных документов, и в то время как отдельные статьи могут говорить о них, не было ни одного оператора сайта, который знает, что каждая из технологий делает, как их реализовать, и как важно, чтобы они были, «сказал Кинг в своем блоге.

Эта трудность в поиске простой для понимания ресурсов об этих функциях веб-безопасности способствовало их низкой скорости принятия, отраженной в сканировании 1,3 миллиона сайтов, выполненных с Observatory. Только 121984 получило проходной балл.

Некоторые из собственных веб-сайтов Mozilla, были в числе тех, которые не прошли тест. Например, когда он впервые был отсканирован с Observatory, addons.mozilla.org, один из самых важных сайтов организации, получили F. Вопросы, с тех пор были исправлены, и веб-сайт в настоящее время рейтинг A +.

В Observatory результаты испытаний представлены в удобном для пользователя виде с соединениями с руководящим принципам веб-безопасности Mozilla, которая есть в описании и примеры реализации. Это позволяет администраторам сайта более легко понять проблемы, обнаруженные во время проверки и установления их приоритетов.

«Конечно, результаты Observatory не могут быть абсолютно точными для вашего сайта — в конце концов, потребности безопасности сайта как GitHub являются намного более сложными, чем личного блога,» сказал Кинг. «Поощряя принятие этих стандартов даже для сайтов с низким уровнем риска, мы надеемся сделать разработчиков, системных администраторов и специалистов по безопасности по всему миру знакомыми с ними.»

Код Observatory является открытым исходным кодом. АНИ и инструменты командной строки доступны для администраторов, которым необходимо переодически сканировать большое количество веб-сайтов.

Запись опубликована в рубрике Новости блога. Добавьте в закладки постоянную ссылку.