Mozilla запустила бесплатный сервис по сканированию сайтов

Для того, чтобы помочь вебмастерам улучшить защиту своих сайтов и пользователей, Mozilla создала онлайн-сервис, который сканирует настройки безопасности сайта. Dubbed Observatory — так называется инструмент — изначально был создан для личного пользования специалистом по безопасности в Mozilla Эйприл Кинг, которая решила расширить его функционал и сделать доступным вне компании. 

Она вдохновлялась программой SSL Server Test, созданной в Qualys SSL Labs, которая оценивает SSL/TLS-конфигурацию сайта и указывает на потенциально слабые места. Как и сканер от Qualys, Observatory использует стобалльную систему оценивания.

В отличие от SSL Server Test, которая проверяет только реализацию TLS, программа от Mozilla сканирует широкий диапазон механизмов сетевой безопасности. В него входят флаги безопасности cookie, CORS, CSP, HPKP, HSTS, перенаправления и многое другое. Инструмент проверяет не только наличие этих технологий, но и корректность их реализации. Чего он не делает, так это проверку на наличие уязвимостей в самом коде сайта, поскольку таких инструментов в свободном доступе уже достаточно.

“Эти технологии упоминаются в десятках стандартов, и хотя о них часто говорят в статьях, до сих пор не было единого инструмента, с помощью которого можно было изучить их устройство и принципы реализации” — сказала Кинг.

Сложностью в поиске доступных материалов по этим аспектам безопасности объясняется их невысокая популярность. Mozilla просканировала 1.3 миллиона сайтов, и лишь 121,984 прошли тест. Забавно, но даже некоторые из ресурсов самой компании провалили его.

Результаты теста Observatory представляются в понятной форме и дополняются советами по улучшению безопасности и ссылками на полезные ресурсы.

Исходный код инструмента открыт. API и инструменты командной строки доступны всем администраторам, желающим воспользоваться этой программой.