Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Скретч—это визуальная объектно-ориентированная среда программирования для обучения школьников младших и средних классов....
Vivaldi — это гибкий, настраиваемый браузер, для которого «пользователь на первом месте», утверждают создатели, во главе...
Registry First Aid - программа для очистки системного реестра операционной системы и, как следствие, оптимизации работы ...
Многофункциональная утилита для работы с CD-ROM - позволяет читать нечитаемые диски и тестировать CD на ошибки, создават...
Программа для создания красивых текстовых эффектов и титров, применяемых при DVD-авторинге, а также трехмерной мультипли...
OSzone.net Новости IT Mozilla представила инструмент сканирования безопасности веб-сайтов RSS

Mozilla представила инструмент сканирования безопасности веб-сайтов

Текущий рейтинг: 5 (проголосовало 5)
 Посетителей: 566 | Просмотров: 595 (сегодня 0)  Шрифт: - +

Чтобы помочь разработчикам защищать свои сайты и их посетителей, компания Mozilla создала очередной онлайн-сканер, который проверяет настройки безопасности веб-сайтов. Он назван Observatory и первоначально был создан для внутреннего применения инженером компании Эйприл Кинг, после чего инструмент стал доступен всем желающим.

Вдохновение при его разработке Кинг черпала у сервиса SSL Server Test от Qualys SSL Labs, который оценивает конфигурацию SSL/TLS сайтов и описывает потенциальные слабости. Observatory точно так же использует систему баллов от 0 до 100 с возможностью получения дополнительных бонусных очков, выдавая итоговую оценку от F до A+.

В отличие от SSL Server Test, который смотрит только на TLS, Observatory сканирует широкий спектр механизмов сетевой безопасности. В их число входят флаги безопасности куки, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), перенаправления, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и ряд других. Проверяется не только использование этих технологий, но и их правильная настройка. Не ведётся контроль наличия уязвимостей в коде самого сайта, что умеют некоторые другие бесплатные и платные инструменты.

Создать безопасную конфигурацию с правильным применением всех современных технологий зачастую бывает сложнее, чем найти и закрыть уязвимости в коде. В результате из 1,3 млн. просканированных сайтов удовлетворительную оценку получили 121.984, менее 10%. Среди не прошедших экзамен были и сайты самой Mozilla - например, addons.mozilla.org получил минимальную оценку, которая в результате исправлений поднялась до максимальной A+.

Результаты тестов в Observatory выдаются в понятном виде и предлагаются ссылки на руководства Mozilla по веб-безопасности, с описаниями и примерами. Код Observatory является открытым, API и инструменты для работы с командной строкой доступны всем желающим.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 28.08.2016
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.