产品战略专家梁宁确认出席AICon北京站,分享AI时代下的商业逻辑与产品需求 了解详情
写点什么

Mozilla 网站安全分析工具 Observatory 已发布

  • 2016-09-05
  • 本文字数:973 字

    阅读完需:约 3 分钟

Mozilla 最近发布了一款名为 Observatory 的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站 URL,即可访问并分析网站 HTTP 标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

  • Cookie
  • 跨源资源共享(CORS)
  • 内容安全策略
  • HTTP 公钥固定(Public Key Pinning)
  • HTTP 严格传输安全
  • 重定向
  • 子资源完整性(Subresource Integrity)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

根据 Mozilla 对评分细节的介绍,每个网站默认可得到 100 分,随后将根据具体配置扣分或加分:

所有网站的基准分为 100 分,以此为基础进行扣分或加分。最低分为 0 分,但最高分没有上限。目前 HTTP Observatory 可给出的理论最高分为 130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在 CORS 测试中,包含 CORS 标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用 CORS XML 文件的同时允许所有域名,将会扣掉 50 分,50 分是修正分中可以扣除的最大分值。

Observatory 由一个核心库,一个 CLI,以及一个 Web 界面组成。CLI 可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在 Web 界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如 securityheaders.io hstspreload.appspot.com ,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向 Mozilla 相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla 提供的 CORS 指南中称:

除非明确需要,否则不应出现 [CORS 信息]。此类信息的用例包括为 JavaScript/CSS 库和公开 API 端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至特有功能必须要用的很少的几个源和资源上。

Observatory 网站本身在该工具中获得了 A+ 以及 120 分的成绩,而 mozilla.org 获得了 D+ 以及 40 分的成绩。该项目已开源并已发布至 GitHub

查看英文原文 Mozilla’s Observatory Website Security Analysis Tool Available

2016-09-05 19:001888
用户头像

发布了 283 篇内容, 共 106.7 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

复杂业务架构设计方法论的思考

FluttySage

架构

易观分析:银保监会成为“历史”,金融行业将面临哪些重点影响?

易观分析

金融 经济

喜马拉雅基于DeepRec构建AI平台实践

阿里云大数据AI技术

人工智能 深度学习 推理 企业号 3 月 PK 榜 稀疏学习

配运基础数据缓存瘦身实践

京东科技开发者

数据库 redis 缓存 key 企业号 3 月 PK 榜

瓴羊Quick BI怎么样,BI工具数据看板见分晓!

小偏执o

3DCAT+一汽奥迪:共建线上个性化订车实时云渲染方案

3DCAT实时渲染

实时云渲染 实时渲染云 3D实时云渲染

二本毕业,靠学姐帮助混进大厂,女朋友却离我而去

程序员晚枫

程序员 女朋友 大厂 校招

当TO B客户说“没有预算”时,怎么卖SaaS|SaaStr观点

B Impact

Terraform 新手村指南,萌新必读!

SEAL安全

Terraform 企业号 3 月 PK 榜

什么是大前端技术?微信小程序用户占比达25%

没有用户名丶

排序算法 Quick Sort

Immerse

JavaScript 面试 前端 数据结构算法 算法、

【MapStruct】引入MapStruct之后,项目启动java:找不到符号

No8g攻城狮

springboot 异常处理

读者1群辛辣反馈,关于《中国式SaaS有没有希望(能赚钱吗)?|内行深度PK ​》

B Impact

ListView的数据更新问题

梦笔生花

ListView 数据更新 demo源码

模块一作业

只因

架构训练营

「降本」有可能,「增效」不确定

Java 架构 程序人生 职场

自动化离线交付在云原生的应用和思考

京东科技开发者

云原生 离线 企业号 3 月 PK 榜 自动化交付

matlab实现形态学图像处理

timerring

matlab 图像处理

适合在公司内网部署的项目管理软件有哪些?

爱吃小舅的鱼

项目管理 项目管理软件

轻量级、简化、QDSAA—特斯拉 IT风格曝光160p Investor Day完整PPT

B Impact

【实践篇】教你玩转微服务--基于DDD的微服务架构落地实践之路

京东科技开发者

架构 后端 企业号 3 月 PK 榜 微服务器

ChatGPT作者John Schulman:我们成功的秘密武器

OneFlow

人工智能 深度学习 ChatGPT

Chrome 无魔法使用新必应(New Bing)聊天机器人

kcodez

chrome ChatGPT newbing 新必应

帆软、永洪BI、瓴羊Quick BI等工具,都有哪些特点呢?

小偏执o

架构实战营模块三作业

null

IoTLink 版本更新 v1.8.0

山东云则信息科技

物联网平台 物联网 springboot

规模化企业BI分析用哪家?帆软、永洪BI、瓴羊Quick BI深度对比

巷子

物联网平台提醒欠费该如何查询和处理?——普及类

阿里云AIoT

物联网

三天吃透消息队列面试八股文

程序员大彬

Java 消息队列

MSE 诊断利器上线

阿里巴巴云原生

阿里云 云原生 微服务引擎

稳中求进的转折之年,企业如何重启“增长飞轮”?

脑极体

京东

Mozilla网站安全分析工具Observatory已发布_安全_David Iffland_InfoQ精选文章