Mozilla推出免费网站安全扫描服务
为了帮助WebMasters更好地保护他们的网站和用户,Mozilla建立了一个在线扫描仪,可以检查Web服务器是否具有最佳的安全设置。
被称为天文台,该工具最初是由Mozilla Security Engineer April King的内部使用,然后鼓励他们扩展它并使其在公司之外提供。
她从Qualys“SSL实验室”的SSL Server测试中获取了灵感来自“SSL实验室”,这是一个广泛欣赏的扫描仪,该扫描仪利用网站的SSL / TLS配置,并突出潜在的弱点。与Qualys“扫描仪一样,天文台使用0到100的评分系统 - 具有额外奖励点的可能性 - 这转化为从F到A +的等级。
与SSL Server测试不同,该测试只检查网站的TLS实现,Mozilla的天文台扫描广泛的Web安全机制。这些包括cookie安全标志,横向资源共享,内容安全策略,HTTP公钥固定,HTTP严格传输安全,重定向,子资源完整性,X-Content-Type-Options,X-XSS保护, 和更多。
该工具不会只检查是否存在这些技术,也是它们是否正确实现了这些技术。该工具不会在实际网站代码中扫描漏洞,这些漏洞已经存在于大量免费和商业工具中。
在某些方面,实现安全网站配置 - 使用近年来浏览器制造商开发的所有可用技术 - 甚至比查找和修补代码漏洞更难。
“这些技术遍布数十个标准文件,而inpidual文章可能会谈论它们,而且没有一个地方可以去寻找现场运营商来学习每个技术所做的,如何实现它们以及它们有多重要, “国王在博客岗位上说。
在寻找有关这些网站安全功能的易于理解的资源方面难以达到其低采用率,反映在使用天文台的130万辆网站的扫描中。只有121,984人获得了一流等级。
一些Mozilla自己的网站是失败的测试中的网站。例如,当它首次使用观察台扫描时,Addons.Mozilla.org是组织最重要的网站之一,收到了F.此后已经修复,网站现在被评为+。
天文台测试结果以用户友好的方式呈现,链接回Mozilla的Web安全指南,其具有描述和实现示例。这允许网站管理员更容易理解扫描期间检测到的问题并优先考虑它们。
“当然,天文台的结果可能对您的网站不完全准确 - 毕竟,像GitHub这样的网站的安全需求是一个比个人博客更复杂的很多,”国王说。“即使为低风险场所鼓励通过这些标准,我们希望能够使世界各地的开发人员,系统管理员和安全专业人员舒适地熟悉它们。”
天文台后面的代码是开源的。API和命令行工具可用于管理员,该管理员需要定期扫描大量网站或者希望在内部执行这些扫描。