Mozilla 网站安全分析工具 Observatory 已发布

Mozilla最近发布了一款名为Observatory的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站URL,即可访问并分析网站HTTP标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别(腾云科技ty300.com)。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正(基础教程qkxue.net)。该工具检查的主要范围包括:

Cookie
跨源资源共享(CORS
内容安全策略
HTTP公钥固定(Public Key Pinning)
HTTP严格传输安全
重定向
子资源完整性(Subresource Integrity)
X-Content-Type-Options
X-Frame-Options
X-XSS-Protection
根据Mozilla对评分细节的介绍,每个网站默认可得到100分,随后将根据具体配置扣分或加分:

所有网站的基准分为100分,以此为基础进行扣分或加分。最低分为0分,但最高分没有上限。目前HTTP Observatory可给出的理论最高分为130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在CORS测试中,包含CORS标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用CORS XML文件的同时允许所有域名,将会扣掉50分,50分是修正分中可以扣除的最大分值。

Observatory由一个核心库,一个CLI,以及一个Web界面组成。CLI可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在Web界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向Mozilla相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla提供的CORS指南中称:

除非明确需要,否则不应出现[CORS信息]。此类信息的用例包括为JavaScript/CSS库和公开API端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至尽可能少,正常使用绝对必要的源(Origin)和资源。

Observatory网站本身在该工具中获得了A+以及120分的成绩,而mozilla.org获得了D+以及40分的成绩。该项目已开源并已发布至GitHub。

英文原文:Mozilla‘s Observatory Website Security Analysis Tool Available 作者 David Iffland

时间: 2024-10-13 19:29:15

Mozilla 网站安全分析工具 Observatory 已发布的相关文章

linux下搭建HTTP网站服务器和网站日志分析工具AWStats的使用

服务器IP地址:192.168.4.5 服务器主机名:srv5.tarena.com 1.在服务器端安装httpd软件包 [[email protected] /]# yum -y install httpd [[email protected] /]# service httpd start [[email protected] /]# chkconfig httpd on 2.在客户机端验证 在浏览器中输入192.168.4.5 如果显示欢迎页面表示服务器搭建成功 3.部署网页文档 首先将欢

网站日志分析工具:WebLog Expert Lite

WebLog Expert Lite,它是一款专门用来分析网站日志文件的软件,可以对网站的来访者进行详细分析,包括当前活动会话统计.文件存取统计.搜索使用情况统计.浏览器/操作系统统计.错误统计等.然后生成HTML形式的表格和图表PDF报告方便各站长对网站各种情况有一个直观的了解. 下载,现在已经到9.2了,直接下一步就安装好了 1.首先下载WebLog Expert Lite和中文语言安装包,地址为:http://www.weblogexpert.com/download.htm 2. 直接打

[软件测试]网站压测工具Webbench源码分析

一.我与webbench二三事 Webbench是一个在linux下使用的非常简单的网站压测工具.它使用fork()模拟多个客户端同时访问我们设定的URL,测试网站在压力下工作的性能.Webbench使用C语言编写,下面是其下载链接: http://home.tiscali.cz/~cz210552/webbench.html 说到这里,我赶脚非常有必要给这个网站局部一个截图,如下图: 第一次看到这张图片,着实吃了一精!居然是2004年最后一次更新,我和我的小伙伴们都惊呆了.不过既然现在大家还都

使用KRPano资源分析工具一键下载全景网站切片图

软件交流群:571171251(软件免费版本在群内提供) krpano技术交流群:551278936(软件免费版本在群内提供) 最新博客地址:blog.turenlong.com KRPano资源分析工具支持批量下载全景网站的全景切片图,例如下面的一个网站 http://vr.firstep.cn/dawa/lvyou/pano/honghaitanlangdao/tour.html 首先我们先在资源查看器中的筛选框中,输入xml,查看该网站的全景xml文件: 在tour.xml文件中,我们可以

已发布13集网站开发技术视频:http://blog.sina.com.cn/s/blog_67d27f340102vf7l.html

已发布13集网站开发技术视频:http://blog.sina.com.cn/s/blog_67d27f340102vf7l.html

55个最实用大数据可视化分析工具

该文转自[IT168 技术] 近年来,随着云和大数据时代的来临,数据可视化产品已经不再满足于使用传统的数据可视化工具来对数据仓库中的数据抽取.归纳并简单的展现.传统的数据可视化工具仅仅将数据加以组合,通过不同的展现方式提供给用户,用于发现数据之间的关联信息.新型的数据可视化产品必须满足互联网爆发的大数据需求,必须快速的收集.筛选.分析.归纳.展现决策者所需要的信息,并根据新增的数据进行实时更新.因此,在大数据时代,数据可视化工具必须具有以下特性: (1)实时性:数据可视化工具必须适应大数据时代数

55个最实用的大数据可视化分析工具

俗话说的好:工欲善其事,必先利其器!一款好的工具可以让你事半功倍,尤其是在大数据时代,更需要强有力的工具通过使数据有意义的方式实现数据可视化,还有数据的可交互性:我们还需要跨学科的团队,而不是单个数据科学家.设计师或数据分析员:我们更需要重新思考我们所知道的数据可视化,图表和图形还只能在一个或两个维度上传递信息, 那么他们怎样才能与其他维度融合到一起深入挖掘大数据呢?此时就需要倚仗大数据可视化(BDV)工具,因此,笔者收集了适合各个平台各种行业的多个图表和报表工具,这些工具中不乏有适用于NET.

Web网站性能测试分析及调优实例

1 背景   前段时间,性能测试团队经历了一个规模较大的门户网站的性能优化工作,该网站的开发和合作涉及多个组织和部门,而且网站的重要性不言而喻,同时上线时间非常紧迫,关注度也很高,所以对于整个团队的压力也非常大.  在此,把整个经历过程给大家分享一下,包括了主要包括了如何使用性能测试的压测工具,压测前的性能问题评估,以及压测执行后的性能问题分析.瓶颈定位.  该门户网站的服务器是放在华通和阿里云的平台上的,所以对华通和阿里共建的云平台安全及应急措施方面要求非常高,需要团队给予全力的保障和配合. 

MySQL监控、性能分析——工具篇

MySQL越来越被更多企业接受,随着企业发展,MySQL存储数据日益膨胀,MySQL的性能分析.监控预警.容量扩展议题越来越多.“工欲善其 事,必先利其器”,那么我们如何在进行MySQL性能分析.监控预警.容量扩展问题上得到更好的解决方案,就要利用各种工具来对MySQL各种指标进行分 析.本文是读书笔记,下面提及的工具,读者可能都用过,或打算准备是使用.MySQL服务器的发布包没有包含那些能完成许多常见任务的工具,例如监控服务器的工具.比较服务器间数据的工具.我们把这些工具分成以下几类:界面.监