Mozilla запустила безкоштовний серіс по скануванню сайтів

Для того, щоб допомогти вебмастерам покращити захист своїх сайтів і користувачів, Mozilla створила онлайн-сервіс, котрий сканує налаштування безпеки сайту. Dubbed Observatory  - так називається інструмент - від самого початку був створений для персонального користування спеціалістом по безпеці в Mozilla Эйпріл Кінг, яка вирішила розширити його функціонал і зробити доступним поза межами компанії. Вона надихалась програмою SSL Server Test створеною в Qualys SSL Labs котра оцінює SSL/TLS-конфігурацію сайта і вказує на потенціально слабкі місця. Як і сканер від Qualys, Observatory використовує стабільну систему оцінювання.

На відміну від SSL Server Test котра тільки провіряє тільки реалізацію TLS, програма від Mozilla сканує широкий діапазон механізмів мережевої безпеки. До нього входять прапори безпеки cookie,CORSCSPHPKPHSTS, перенаправлення і багато іншого. Інструмент провіряє не тільки наявність цих технологій, но і коректність їх реалізації. Чого він не робить, так це провірку на наявність вразливостей в самому коді сайту, поскільки таких інструментів  у вільному доступі вже достатньо.

“Ці технології пригадуються в десятках стандартів, хоча про них часто говорять в статтях, до сих пір не було єдиного інструменту, за допомогою котрого можна було вивчити їх влаштування і принцип реалізації”-сказала Кінг. Складністю в пошуку доступних матеріалів по цим аспектам безпеки пояснюється їх невисока популярність. Mozilla просканувала 1.3 міліона сайтів і лише 121,984 пройшли тест. Забавно але навіть деякі з ресурсів самої компанії провалили його.

Результати теста Observatory представляються в зрозумілій формі і доповнюються порадами для покращення безпеки і посиланнями на корисні ресурси.

Вихідний код інструмента відкритий. АРІ і інструменти командної строки доступні всім адміністраторам, бажаючим скористатись цією програмою


Обговорення