mozilla 安全工程師 april knight 釋出了一個名叫 observatory 的項目,旨在為大家提供一款類似于 ssl labs、high-tech bridge 等掃描服務的免費版網站安全掃描工具。這項服務基于 github 上的一個 python 代碼庫,開發曆時好幾個月,并終于在昨日獲準向公衆釋出。observatory 主要面向想要通過現代安全協定來配置網站的開發者、系統管理者、以及安全專家。
observatory可以掃描基本的安全特性,然後給出0到130的評分(也可簡單歸納為a到f級)。目前這項服務支援掃描如下内容:
1:内容安全政策(csp)狀态;
2:使用了安全标記的cookie檔案;
3:跨來源資源共享(cors)狀态;
4:http公鑰定位(hpkp)狀态;
5:http強制安全傳輸(hsts)狀态;
6:是否存在http到https的自動重定向;
7:子資源完整性(sri)狀态;
8:x-content-type-options 狀态;
9:x-frame-options 狀态。
knight 在檢查了130萬+網站後發現,目前有超過91%的網站都沒能通過 observatory 的測試。
雖然很難實作所有基礎安全項目,但我們仍建議盡可能地為網站提供武裝。