×
Mozilla запускает бесплатный веб-сайт по службе сканирования безопасности

Для того чтобы помочь веб-мастерам лучше защитить свои веб-сайты и пользователей, Mozilla создала своеобразный онлайновый сканер, который может проверить, имеют ли веб-серверы лучшие параметры безопасности.

 

Дублированный инструмент по мониторингу был изначально построен для использования в домашних сетях, но инженер Mozilla по безопасности Април Кинг (April King) решил расширить его пределы и сделать доступным для всего мира. И вот спустя почти полгода задумка удалась.

 

Кинг взял вдохновение от SSL Server Test и порядком развил его. Как и идейный вдохновитель, сканер сервиса выдвигает на первый план потенциальные слабости, определяя систему подсчета очков от 0 до 100 с возможностью дополнительных бонусных очков. В конце теста ставится оценка от F до A + (то есть от 1 до 5+).

 

Но в отличие от теста SSL-сервера, который проверяет только реализацию TLS веб-сайта, сканер Mozilla использует более широкий спектр возможностей для определения систем безопасности. К их числу относятся cookie security flags, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), redirections, subresource integrity, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и многое другое.

 

Инструмент не только проверяет наличие этих технологий, но и определяет, правильно ли они реализованы. Так что, по сути, технология дает представления о всех черных ходах на ваш сайт, устранив которые, вы порядком повышаете безопасность вашего ресурса.

 

Пока из 1,3 миллиона обследованных сайтов только 121984 получили «проходной балл». Так что не стоит думать, что ваш сайт защищен лучше прочих. Ведь не прошли тест даже некоторые из собственных веб-сайтов Mozilla. В том числе addons.mozilla.org, как один из самых важных сайтов организации, получил «двойку». Поправив безопасность, в данный момент он имеет рейтинг «5+».

 

Код обсерватории является открытым исходным кодом для всех. Инструменты командной строки доступны для администраторов, которым необходимо сканировать большое количество веб-сайтов периодически, или для тех, которые хотят выполнять это сканирование внутри своих структур.

 

Автор: Степан Мазур

 

Оригинал фото: pcworld