信息來源:企業(yè)網
Mozilla最近發(fā)布了一款名為Observatory的網站安全分析工具,意在鼓勵開發(fā)者和系統(tǒng)管理員增強自己網站的安全配置。
該工具的用法非常簡單:輸入網站URL,即可訪問并分析網站HTTP標頭,隨后可針對網站安全性提供數(shù)字形式的分數(shù)和字母代表的安全級別。該工具可分析大量安全配置,取決于所發(fā)現(xiàn)問題的嚴重程度,會通過扣分的方式對分數(shù)進行修正。該工具檢查的主要范圍包括:
Cookie 跨源資源共享(CORS) 內容安全策略 HTTP公鑰固定(Public Key Pinning) HTTP嚴格傳輸安全 重定向 子資源完整性(Subresource Integrity) X-Content-Type-Options X-Frame-Options X-XSS-Protection
根據(jù)Mozilla對評分細節(jié)的介紹,每個網站默認可得到100分,隨后將根據(jù)具體配置扣分或加分:
所有網站的基準分為100分,以此為基礎進行扣分或加分。最低分為0分,但最高分沒有上限。目前HTTP Observatory可給出的理論最高分為130。但是要注意,盡管用字母代表的安全等級范圍和修正后的分數(shù)在本質上是隨機的,但實際上這些評分源自業(yè)界專家的反饋,代表了某一網站通過測試或測試失敗的可能性。
例如在CORS測試中,包含CORS標頭但僅限于特定域名的網站不會因此被扣分,然而如果同一個網站在使用CORS XML文件的同時允許所有域名,將會扣掉50分,50分是修正分中可以扣除的最大分值。
Observatory由一個核心庫,一個CLI,以及一個Web界面組成。CLI可供開發(fā)者將評分功能用腳本的方式納入測試套件或部署邏輯中。對于只需要偶爾使用的用戶,可以在Web界面上輸入網站地址并設置其他選項。該工具還可以調用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的檢測分析。
在該工具的網站上,每個類別都提供了一個指向Mozilla相關話題文檔的鏈接,開發(fā)者可以通過這個鏈接了解如何以更好的方式實現(xiàn)安全策略。Mozilla提供的CORS指南中稱:
除非明確需要,否則不應出現(xiàn)[CORS信息]。此類信息的用例包括為JavaScript/CSS庫和公開API端點提供托管的內容交付網絡(CDN)等。如果使用了此類信息,必須將其鎖定至盡可能少,正常使用絕對必要的源(Origin)和資源。
Observatory網站本身在該工具中獲得了A+以及120分的成績,而mozilla.org獲得了D+以及40分的成績。該項目已開源并已發(fā)布至GitHub。
查看英文原文:Mozilla's Observatory Website Security Analysis Tool Available