Mozilla запустила онлайн-сервис, который сканирует настройки безопасности сайта. Его цель – помочь вебмастерам улучшить защиту своих сайтов и пользователей.
Инструмент под названием Dubbed Observatory был создан специалистом по безопасности в Mozilla Эйприл Кинг.
Поводом для ее вдохновения стала программа SSL Server Test, которая оценивает SSL/TLS-конфигурацию сайта и указывает на потенциально слабые места. Как и эта программа, Observatory использует стобалльную систему оценивания.
В отличие от SSL Server Test, которая проверяет только реализацию TLS, программа от Mozilla сканирует широкий диапазон механизмов сетевой безопасности. В него входят флаги безопасности cookie, CORS, CSP, HPKP, HSTS, перенаправления и т.д.. Инструмент проверяет не только наличие этих технологий, но и корректность их реализации. Единственное, что он не делает -это проверку на наличие уязвимостей в самом коде сайта, так как инструментов для этих целей в свободном доступе уже достаточно.
Сложностью в поиске доступных материалов по этим аспектам безопасности объясняется их невысокая популярность. Mozilla просканировала 1.3 миллиона сайтов, и только 121,984 из них прошли тест (даже некоторые из ресурсов самой компании его провалили).
Результаты теста Observatory представляются в понятной форме и дополняются советами по улучшению безопасности и ссылками на полезные ресурсы.
Исходный код инструмента открыт. API и инструменты командной строки доступны всем администраторам, желающим воспользоваться этой программой.
Источник https://tproger.ru/