写点什么

Mozilla 网站安全分析工具 Observatory 已发布

  • 2016-09-05
  • 本文字数:973 字

    阅读完需:约 3 分钟

Mozilla 最近发布了一款名为 Observatory 的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站 URL,即可访问并分析网站 HTTP 标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

  • Cookie
  • 跨源资源共享(CORS)
  • 内容安全策略
  • HTTP 公钥固定(Public Key Pinning)
  • HTTP 严格传输安全
  • 重定向
  • 子资源完整性(Subresource Integrity)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

根据 Mozilla 对评分细节的介绍,每个网站默认可得到 100 分,随后将根据具体配置扣分或加分:

所有网站的基准分为 100 分,以此为基础进行扣分或加分。最低分为 0 分,但最高分没有上限。目前 HTTP Observatory 可给出的理论最高分为 130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在 CORS 测试中,包含 CORS 标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用 CORS XML 文件的同时允许所有域名,将会扣掉 50 分,50 分是修正分中可以扣除的最大分值。

Observatory 由一个核心库,一个 CLI,以及一个 Web 界面组成。CLI 可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在 Web 界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如 securityheaders.io hstspreload.appspot.com ,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向 Mozilla 相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla 提供的 CORS 指南中称:

除非明确需要,否则不应出现 [CORS 信息]。此类信息的用例包括为 JavaScript/CSS 库和公开 API 端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至特有功能必须要用的很少的几个源和资源上。

Observatory 网站本身在该工具中获得了 A+ 以及 120 分的成绩,而 mozilla.org 获得了 D+ 以及 40 分的成绩。该项目已开源并已发布至 GitHub

查看英文原文 Mozilla’s Observatory Website Security Analysis Tool Available

2016-09-05 19:001869
用户头像

发布了 283 篇内容, 共 105.8 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

打造面向未来的开发者服务新范式,龙蜥社区开发者服务平台 devFree MeetUp 硬核启动!欢迎报名

OpenAnolis小助手

Meetup 龙蜥社区 基础设施SIG devFree 开发者服务平台

众筹互助软件架构搭建原理

Congge420

全球护照NFC核验 | 羽山科技

羽山数据

nfc 护照 全球护照

MoE 系列(四)|Go 扩展的异步模式

SOFAStack

Go 程序员 开发 网关 Envoy负载均衡

重磅!用友荣登全球5强

用友BIP

CST为什么要关闭 GPU 卡的 ECC 模式而开启 TCC 模式?操作使用【详解】

思茂信息

cst cst使用教程 电磁仿真 cst电磁仿真 cst仿真软件

数据挖掘实践(金融风控):金融风控之贷款违约预测挑战赛(上篇)[xgboots/lightgbm/Catboost等模型]--模型融合:stacking、blending

汀丶人工智能

数据挖掘 机器学习 深度学习 数据建模

第二届全国博士后创新创业大赛报名开始啦!海内外博士、博士后

科兴未来News

博士后 双创比赛 博士

TSBS 报告-TimescaleDB vs TDengine

TDengine

时序数据库 tsdb #TDengine

校园校区共享电单车怎么投?找谁投?

共享电单车厂家

共享电动车厂家 校园共享电动车 共享电动车投放 共享电单车合作

百度工程师移动开发避坑指南——内存泄漏篇

百度Geek说

ios android 开发 企业号 5 月 PK 榜

免费堡垒机有哪些?功能多吗?后续可以升级吗?

行云管家

安全运维 免费软件 免费 免费堡垒机

ChatGPT人功智能开发方案详情

Congge420

年营收将破千亿?运营商云的底气在哪里?

ToB行业头条

flutter系列之:使用AnimationController来控制动画效果

程序那些事

flutter 大前端 程序那些事

IDD Swap算力LP挖矿部署流程(详细

Congge420

未来源码|Dart 3正式发布:100%健全的空值安全、迄今为止最大版本

MobTech袤博科技

TDenigne 签约路特斯科技,助力高性能跑车领域数据架构升级

TDengine

时序数据库 #TDengine

京东顶级架构师是如何应对几天后618狂欢节的,带你走进顶级大佬

做梦都在改BUG

Java 架构 系统设计 高并发 亿级流量

操作系统国产化步入深水区,小程序技术助力生态搭建

没有用户名丶

小程序容器

华为首席架构师推荐的《云原生架构下微服务最佳》

做梦都在改BUG

Java 架构 微服务 云原生

索信达助力,贵阳银行荣获“金融行业数字化转型最佳创新应用奖”

索信达控股

数字化转型 金融 银行

OpenMLDB v0.8.0 发布

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

基于数字孪生的智慧校园解决方案,数字孪生赋能创建安全、绿色、智能的数字校园|UINO优锘数字孪生解决方案

ThingJS数字孪生引擎

智慧校园 数字孪生 智慧校园解决方案 智慧校园管理系统 可视化引擎

NGINX 与当下爆火的 ChatGPT 聊天,回答质量参差不齐

NGINX开源社区

nginx ChatGPT

技术驱动,数据赋能,华为云GaussDB给世界一个更优选择

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 5 月 PK 榜

led显示屏安装步骤和注意点

Dylan

调试 安装 LED显示屏

性能测试的时机

陈磊@Criss

提高数据的安全性和可控性,数栈基于 Ranger 实现的 Spark SQL 权限控制实践之路

袋鼠云数栈

数据安全

数据挖掘实践(金融风控):金融风控之贷款违约预测挑战赛(下篇)[xgboots/lightgbm/Catboost等模型]--模型融合:stacking、blending

汀丶人工智能

人工智能 数据挖掘 机器学习 深度学习 数学建模

【经验总结】你想知道的BGA焊接问题都在这里

华秋PCB

工具 电路 PCB PCB设计 焊接

Mozilla网站安全分析工具Observatory已发布_安全_David Iffland_InfoQ精选文章