发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

Mozilla 网站安全分析工具 Observatory 已发布

  • 2016-09-05
  • 本文字数:973 字

    阅读完需:约 3 分钟

Mozilla 最近发布了一款名为 Observatory 的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站 URL,即可访问并分析网站 HTTP 标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

  • Cookie
  • 跨源资源共享(CORS)
  • 内容安全策略
  • HTTP 公钥固定(Public Key Pinning)
  • HTTP 严格传输安全
  • 重定向
  • 子资源完整性(Subresource Integrity)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

根据 Mozilla 对评分细节的介绍,每个网站默认可得到 100 分,随后将根据具体配置扣分或加分:

所有网站的基准分为 100 分,以此为基础进行扣分或加分。最低分为 0 分,但最高分没有上限。目前 HTTP Observatory 可给出的理论最高分为 130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在 CORS 测试中,包含 CORS 标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用 CORS XML 文件的同时允许所有域名,将会扣掉 50 分,50 分是修正分中可以扣除的最大分值。

Observatory 由一个核心库,一个 CLI,以及一个 Web 界面组成。CLI 可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在 Web 界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如 securityheaders.io hstspreload.appspot.com ,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向 Mozilla 相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla 提供的 CORS 指南中称:

除非明确需要,否则不应出现 [CORS 信息]。此类信息的用例包括为 JavaScript/CSS 库和公开 API 端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至特有功能必须要用的很少的几个源和资源上。

Observatory 网站本身在该工具中获得了 A+ 以及 120 分的成绩,而 mozilla.org 获得了 D+ 以及 40 分的成绩。该项目已开源并已发布至 GitHub

查看英文原文 Mozilla’s Observatory Website Security Analysis Tool Available

2016-09-05 19:001750
用户头像

发布了 283 篇内容, 共 101.6 次阅读, 收获喜欢 61 次。

关注

评论

发布
暂无评论
发现更多内容

人工智能 | 计算机视觉迁移学习:开启智能化视野的大门

测吧(北京)科技有限公司

测试

Reallusion Cartoon Animator for Mac(2D动画设计制作软件) v4.51.3511.1完美激活版

mac

苹果mac Windows软件 Reallusion 2D动画设计制作软件

用 LangChain 搭建基于 Notion 文档的 RAG 应用

Zilliz

Milvus Zilliz AIGC langchain rag

超赞!让vue开发效率翻倍的工具分享

秃头小帅oi

Vue 前端

[开源更新]企业级身份管理和访问管理系统、为数字身份安全赋能

小狗围观科幻

人工智能 | Bug预测新纪元:基于迁移学习的创新应用

测吧(北京)科技有限公司

测试

Photoshop 2024(ps2024最新)v25.1激活版

Geek_幻墨成诗

Photoshop 2024破解版 Photoshop2024下载

Pixea Plus for Mac(高效图片浏览器)v5.2激活版

iMac小白

软件测试 | 引领未来,掌握模型驱动技术的人工智能革命

测吧(北京)科技有限公司

测试

谷歌访问助手(谷歌浏览器插件)Mac中文版

Geek_幻墨成诗

谷歌访问助手

数仓实践丨常量标量子查询做全连接导致整体慢

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 华为云GaussDB(DWS)

如何有效的进行 E2E

优测云服务平台

测试 测试技术

人工智能 | 视觉场景中的相应时间分析与弹窗检测技术

测吧(北京)科技有限公司

测试

Office 2019 v16.78.3激活工具(office2019套件)

Geek_幻墨成诗

Office 2019下载 Microsoft Office 2019

Unity3D 导出的apk进行混淆加固、保护与优化原理(防止反编译)

云边协同的RTC如何助力即构全球实时互动业务实践

ZEGO即构

边缘计算 实时音视频 MSDN 云边协同 音视频质量

第16届中国R会议暨2023X-AGI大会开幕,和鲸科技分享ModelOps在数据科学平台中的实践与应用

ModelWhale

R语言 数据科学 算法模型 ModelOps 计算平台

人工智能 | 经典卷积网络模型解析:深度学习中的里程碑

测吧(北京)科技有限公司

测试

人工智能 | 引领未来,掌握图像目标检测:PyTorch带您探索智能时代

测吧(北京)科技有限公司

测试

人工智能:亲手打造的强化学习模型征服游戏世界

测吧(北京)科技有限公司

测试

Final Cut Pro for Mac(fcpx视频剪辑) v10.6.10中文版

Geek_幻墨成诗

Final Cut Pro下载 Final Cut Pro中文版 Final Cut Pro破解版 Final Cut Pro教程 Final Cut Pro

井然有序 | AIRIOT智能安防系统解决方案

AIRIOT

物联网 智能安防

人工智能 | 无参照模型预测技术:提升模型性能和应用体验的新思路

测吧(北京)科技有限公司

测试

Photoshop 2020 for mac(PS2020)v21.2.5中文激活版

Geek_幻墨成诗

Photoshop 2024破解版 Photoshop2020

和鲸科技与国科环宇建立战略合作伙伴关系,以软硬件一体化解决方案促进科技创新

ModelWhale

软件 服务器 算力 大模型 计算平台

软件测试 | 基于无监督深度特征的视觉识别技术:人工智能的前沿探索

测吧(北京)科技有限公司

测试

人工智能 | 掌握有参照的 UIDiff 检测技术:优化用户界面的关键工具

测吧(北京)科技有限公司

测试

自然语言处理技术原理解析

测吧(北京)科技有限公司

测试

“降本增效”才是选择低代码开发的主旋律

互联网工科生

软件开发 低代码开发 JNPF

Ableton Live 12 for Mac(音乐制作工具)激活版

iMac小白

人工智能 | 自然语言处理技术原理介绍

测吧(北京)科技有限公司

测试

Mozilla网站安全分析工具Observatory已发布_安全_David Iffland_InfoQ精选文章