|
За да помогне на разработчиците да защитават своите сайтове и техните посетители, компанията Mozilla създаде поредния онлайн-скенер, който проверява настройките за сигурност на уеб-сайтовете. Той бе наречен под името Observatory и първоначално е бил създаден за вътрешно ползване от инженера на компанията Ейприл Кинг, но след това се превърна в инструмент, достъпен за всички желаещи да го ползват.Вдъхновение за разработката Кинг е черпил от услугата SSL Server Test на Qualys SSL Labs, който оценява конфигурация на SSL/TLS сайтовете и описва потенциалните слабости. Observatory използва точна точкова система от 0 до 100 с възможност за получаване на допълнителни бонус точки, извеждайки окончателна оценка от F до А+.За разлика от SSL Server Test, който гледа само TLS, Observatory сканира широка гама от механизми за сигурност на мрежата. В тях влизат флагове за безопасност на "бисквитките", Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), пренасочвания, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и редица други. Проверява се не само използването на тези технологии, но и тяхната правилна настройка. Не се поддържа контрол за наличието на уязвимости в кода на самия сайт, за което обаче са налични някои други безплатни и платени инструменти.Създаването на безопасна конфигурация с правилното прилагане на всички съвременни технологии често се случва по-трудно, отколкото откриването и заличаването на уязвимостите в кода. В резултат на това, от 1,3 милиона сканирани сайтове, задоволителна оценка са получили 121.984, което е по-малко от 10%. Сред не издържали сканирането са и сайтовете на Mozilla - например addons.mozilla.org получи минималната оценка, която в резултатите на различни корекции се повиши до максималната A+.Резултатите от тестовете на Observatory се извеждат по ясен начин и се предлагат връзки към ръководства на Mozilla за уеб-сигурност, с описания и примери. Кодът на Observatory е отворен, APIS и инструментите за работа с командния ред са на разположение на всички желаещи. 
|
|
