Ingeniero de seguridad de Mozilla abril rey dio a conocer un proyecto llamado Observatorio, una utilidad gratuita de análisis de seguridad web, similar a los laboratorios de SSL y otros servicios de escaneo de alta tecnología.
El servicio, que trabaja en la parte superior de una base de código Python disponible en GitHub, ha estado en desarrollo durante meses y fue aprobado para un lanzamiento público ayer.
Observatorio está dirigido a desarrolladores, administradores de sistemas y profesionales de la seguridad que deseen configurar sitios de utilizar protocolos de seguridad modernas.
El servicio cataloga de la A a la F
Observatorio analiza en busca de la presencia de las características básicas de seguridad y luego da un grado 0-130, que se convierte entonces en un A a F puntuación.
En su forma actual, las exploraciones de servicio para el siguiente: el estado [1] Contenido Política de Seguridad (CSP), [2] archivos cookie usando la bandera de seguro, [3] el estado de Cross-Origin Resource Sharing (CORS), [4] HTTP Pública que fija al estado de la clave (HPKP), [5] el estado HTTP estricta de Seguridad de Transporte (HSTS), [6] la presencia de una redirección automática de HTTP a HTTPS, [7] subrecurso Integridad (SRI) de estado, [8] X-Content estado tipo-Opciones, [9] el estado X-Frame-Opciones (XFO) de estado, y [10] X-XSS-Protección.
Todas las recomendaciones básicas de seguridad, aunque sea muy difícil de poner en práctica, una razón por la que muchos sitios web todavía no los utilizan.
Más del 91% de los sitios web actuales no superen las pruebas del Observatorio
Según King, quien realizó análisis automáticos de más de 1,3 millones de sitios web, más del 91 por ciento de los sitios web de hoy en día no superen las pruebas del Observatorio.
"Cuando nueve de cada 10 sitios web reciben un suspenso, está claro que este es un problema para todos y por." Todo el mundo ", estoy incluyendo Mozilla - entre nuestros miles de sitios, una gran parte de ellos no pasan" king escribió ayer, revelando que el Observatorio fue desarrollado para ayudar a Mozilla pone a prueba sus propios dominios en primer lugar.
Fuente: Softpedia
