Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Программа для скрытого слежения за использованием компьютера.NeoSpy: - Собирает данные о запускаемых на компьютере прило...
Утилита для чтения и извлечения данных из CD-i, VCD, SVCD, CD-ROM, CD-ROM XA, DVD, DVCD. Работая в обход Windows, позвол...
MyBusinessCatalog - это программное решение, результат работы которого в том, чтобы из единожды внесенных данных создать...
«Товар-Деньги-Товар» — это торгово-складская программа для осуществления комплексного контроля над деятельностью оптовых...
Универсальная программа для чтения log-журналов с мощными возможностями мониторинга и формирования предупреждений. LogMe...
OSzone.net Новости IT Mozilla представила инструмент сканирования безопасности веб-сайтов RSS

Mozilla представила инструмент сканирования безопасности веб-сайтов

Текущий рейтинг: 5 (проголосовало 5)
 Посетителей: 581 | Просмотров: 610 (сегодня 0)  Шрифт: - +

Чтобы помочь разработчикам защищать свои сайты и их посетителей, компания Mozilla создала очередной онлайн-сканер, который проверяет настройки безопасности веб-сайтов. Он назван Observatory и первоначально был создан для внутреннего применения инженером компании Эйприл Кинг, после чего инструмент стал доступен всем желающим.

Вдохновение при его разработке Кинг черпала у сервиса SSL Server Test от Qualys SSL Labs, который оценивает конфигурацию SSL/TLS сайтов и описывает потенциальные слабости. Observatory точно так же использует систему баллов от 0 до 100 с возможностью получения дополнительных бонусных очков, выдавая итоговую оценку от F до A+.

В отличие от SSL Server Test, который смотрит только на TLS, Observatory сканирует широкий спектр механизмов сетевой безопасности. В их число входят флаги безопасности куки, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), перенаправления, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection и ряд других. Проверяется не только использование этих технологий, но и их правильная настройка. Не ведётся контроль наличия уязвимостей в коде самого сайта, что умеют некоторые другие бесплатные и платные инструменты.

Создать безопасную конфигурацию с правильным применением всех современных технологий зачастую бывает сложнее, чем найти и закрыть уязвимости в коде. В результате из 1,3 млн. просканированных сайтов удовлетворительную оценку получили 121.984, менее 10%. Среди не прошедших экзамен были и сайты самой Mozilla - например, addons.mozilla.org получил минимальную оценку, которая в результате исправлений поднялась до максимальной A+.

Результаты тестов в Observatory выдаются в понятном виде и предлагаются ссылки на руководства Mozilla по веб-безопасности, с описаниями и примерами. Код Observatory является открытым, API и инструменты для работы с командной строкой доступны всем желающим.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 28.08.2016
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.