mozilla最近釋出了一款名為observatory的網站安全分析工具,意在鼓勵開發者和系統管理者增強自己網站的安全配置。
該工具的用法非常簡單:輸入網站url,即可通路并分析網站http标頭,随後可針對網站安全性提供數字形式的分數和字母代表的安全級别。該工具可分析大量安全配置,取決于所發現問題的嚴重程度,會通過扣分的方式對分數進行修正。該工具檢查的主要範圍包括:
cookie 跨源資源共享(cors) 内容安全政策 http公鑰固定(public key pinning) http嚴格傳輸安全 重定向 子資源完整性(subresource integrity) x-content-type-options x-frame-options x-xss-protection
根據mozilla對評分細節的介紹,每個網站預設可得到100分,随後将根據具體配置扣分或加分:
所有網站的基準分為100分,以此為基礎進行扣分或加分。最低分為0分,但最高分沒有上限。目前http observatory可給出的理論最高分為130。但是要注意,盡管用字母代表的安全等級範圍和修正後的分數在本質上是随機的,但實際上這些評分源自業界專家的回報,代表了某一網站通過測試或測試失敗的可能性。
例如在cors測試中,包含cors标頭但僅限于特定域名的網站不會是以被扣分,然而如果同一個網站在使用cors xml檔案的同時允許所有域名,将會扣掉50分,50分是修正分中可以扣除的最大分值。
observatory由一個核心庫,一個cli,以及一個web界面組成。cli可供開發者将評分功能用腳本的方式納入測試套件或部署邏輯中。對于隻需要偶爾使用的使用者,可以在web界面上輸入網站位址并設定其他選項。該工具還可以調用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的檢測分析。
在該工具的網站上,每個類别都提供了一個指向mozilla相關話題文檔的連結,開發者可以通過這個連結了解如何以更好的方式實作安全政策。mozilla提供的cors指南中稱:
除非明确需要,否則不應出現[cors資訊]。此類資訊的用例包括為javascript/css庫和公開api端點提供托管的内容傳遞網絡(cdn)等。如果使用了此類資訊,必須将其鎖定至盡可能少,正常使用絕對必要的源(origin)和資源。
observatory網站本身在該工具中獲得了a+以及120分的成績,而mozilla.org獲得了d+以及40分的成績。該項目已開源并已釋出至github。
本文轉自d1net(轉載)
![主流浏覽器四大綜合性能測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)