您的位置: 首页 > Office综合 >

Mozilla网站安全分析工具Observatory已发布

时间:2016-09-06 整理:docExcel.net

英文原文:Mozilla's Observatory Website Security Analysis Tool Available

Mozilla 最近发布了一款名为 Observatory 的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站 URL,即可访问并分析网站 HTTP 标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

  • Cookie
  • 跨源资源共享(CORS)
  • 内容安全策略
  • HTTP 公钥固定(Public Key Pinning)
  • HTTP 严格传输安全
  • 重定向
  • 子资源完整性(Subresource Integrity)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

根据 Mozilla 对评分细节的介绍,每个网站默认可得到 100 分,随后将根据具体配置扣分或加分:

所有网站的基准分为 100 分,以此为基础进行扣分或加分。最低分为 0 分,但最高分没有上限。目前 HTTP Observatory 可给出的理论最高分为 130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在 CORS 测试中,包含 CORS 标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用 CORS XML 文件的同时允许所有域名,将会扣掉 50 分,50 分是修正分中可以扣除的最大分值。

Observatory 由一个核心库,一个 CLI,以及一个 Web 界面组成。CLI 可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在 Web 界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如 securityheaders.io 和 hstspreload.appspot.com,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向 Mozilla 相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla 提供的 CORS 指南中称:

除非明确需要,否则不应出现[CORS 信息]。此类信息的用例包括为 JavaScript/CSS 库和公开 API 端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至特有功能必须要用的很少的几个源和资源上。

Observatory 网站本身在该工具中获得了A+ 以及 120 分的成绩,而 mozilla.org 获得了D+ 以及 40 分的成绩。该项目已开源并已发布至 GitHub。

雅虎与Mozilla达成合作 将成Firefox默认搜索引擎 问题:雅虎与Mozilla达成合作 将成Firefox默认搜索引擎
回答: 11 月 20 日消息,据国外媒体报道,雅虎和 Mozilla 周三联合宣布一项五年合作计划——前者搜索引擎将成为后者美国移动和桌面版 Firefox 浏览器的默认搜索工具。此外,双方还会根据协议在探索新产品集成,以及发展其他...
除了Firefox,我们为什么还需要Mozilla 问题:除了Firefox,我们为什么还需要Mozilla
回答: 英文原文:Why does the world still need the Mozilla Foundation? 随着 Mozilla 的 Firefox 浏览器迅速失去市场份额,Mozilla 基金会发现自己面临着自它成立十年时间以来,其历史上最关键的时刻。 十年前,Mozilla 推出了 Firefox 网页浏览器。Fire...
九成收入靠搜索:Mozilla正与Google商谈续约 问题:九成收入靠搜索:Mozilla正与Google商谈续约
回答: 虽然 Mozilla 与 Google 在浏览器和开放标准上有一定的竞争关系,但是作为一家非盈利机构,前后也一直在接受着来自后者的资金支持。而随着协议到期日的临近,Mozilla 已经表示它将与 Google 举行延期会谈。Google 一直占据了 Mozill...
Mozilla在2013年的营收九成来自Google 问题:Mozilla在2013年的营收九成来自Google
回答: 在终止与 Google 的合作与雅虎达成五年协议之后,Mozilla 公布了 2013 年度的财务报告,报告显示 Mozill 九成的营收来自 Google。Mozilla 基金会及其子公司的总收入在 2011 年为 1.63 亿美元,拜 Google 的默认搜索协议所赐,2012 年的收入...
Mozilla被拒绝参加Google编程之夏2015 问题:Mozilla被拒绝参加Google编程之夏2015
回答:...是 190 个,2013 年是 177 个。 其中多次参加的开源组织 Mozilla、Tor 和 Linux 基金会都没有进入名单。 Google 解释说,不接受 Mozilla 是一个困难的决定,表示今年的决定不会影响明年的选择,Mozilla 可以明年再申请。Mozilla 和 Google ...
Mozilla计划推出可穿戴版Firefox OS 问题:Mozilla计划推出可穿戴版Firefox OS
回答: 据报道,Mozilla 目前正计划推出一个用于可穿戴设备的 Firefox OS 版本,其主要任务之一是打破苹果、谷歌在智能手表、智能眼镜及其它可穿戴设备操作系统上的垄断壁垒。 据悉,Firefox OS 目前已在很多低成本智能手机上应用,...
相关知识:

下面内容对您也许有用

      话题:为什么火狐会自动向mozilla

      问题详情:上网账号密码会不会也被发出去

      推荐回答:尊敬的用户,所以您完全无须担心、即便获得用户授权机型数据交互,所有的这一切都是您在浏览器适用范围内的内容,这些内容也是加密后、即便您使用了登录信息保存的功能。最后,这些只是针对浏览器的相关设定信息,那也应该是您在使用mozilla的云端保存功能,如有疑问、火狐浏览器不会在未获得用户授权的情况下向mozilla发送数据,以密文的方式进

      话题:Mozilla Firefox ( 安全模式)是指什么?

      推荐回答:Firefox的安全模式(safe mode)指以不加载任何扩展(Extensions)、主题(Theme)和插件(Plugins)的情况启动Firefox。安全模式一般用来在Firefox出问题时诊断故障原因。在Windows下,点击 开始 - 运行 - Firefox.exe -safe-mode 命令启动 Firefox 安全模式。在Linux下,执行 ./firefox -safe-mode 命令启动 Firefox 安全模式。

      话题:Mozilla Firefox(火狐浏览器)这个软件安全吗?

      问题详情:谁知道 回答一下 谢谢了.!!

      推荐回答:你要确定是从火狐的官方网站下载下来的! 如果是某些非法网站,可能以火狐好用来诱骗你使用被挂了东西的火狐(我记得有人这么跟我说过,但是我还没见到过),火狐倒还是很好的,但是现在我觉得简化的Maxthon2更好一点

      话题:Mozilla Firefox 2.0.0.4 和 Mozilla Firefox 1.5.0.12有什么不一样

      问题详情:Mozilla Firefox 2.0.0.4 和 Mozilla Firefox 1.5.0.12有什么不一样?

      推荐回答:mozilla 2.x.x.x有独立的网页解释核心,这就是为什么mozilla在windows下比IE安全的原因,mozilla 1.5.x.x在linux下也有自己的核心,但是在windows下据说用的还是IE核心,所以,如果你是windows用户,推荐你装mozilla 2.x.x.x,正是因为mozilla有独立的核心,也许你会看到它与IE开同样的网页,但是显示效果不一样的情况,一般不影响使用,mizolla正在努力使

      话题:很多网站说,用Mozilla

      问题详情:很多网站说,用Mozilla Firefox,来浏览QQzone的~,但是,我用

      推荐回答:从安全的角度来说Mozilla Firefox是最好的,但是Mozilla Firefox只适合专业人士使用,比较喜欢娱乐的人还是IE最好,其次MC也不错

      话题:360安全浏览器

      推荐回答:用惯firefox的必然首选firefox,不会用firefox的人视之为草芥Mozilla是指mozilla seamonkey吗?我感觉它是一个中规中矩的网络客户端(浏览器+mail+irc),和opera的定位差不多,开发比firefox滞后些360就不谈了,骗骗外行,抄袭世界之窗3,还不如用世界之窗IE,太差劲了,不过难免有些政府,单位,学校的网页是ie only的,只好用用Safari,我用的不多,就

      话题:谁给我介绍一下Mozilla这个公司?

      问题详情:谁给我介绍一下Mozilla这个公司?我很想知道他跟Fire Fox还有

      推荐回答:Mozilla中国中心(Mozilla China Foundation)是由中国科学院软件研究所和Sun中国工程研究院共同发起,经Mozilla基金会(Mozilla Foundation)正式授权的非营利性机构。中心依托在中国科学院软件研究所。 Mozilla中国中心的宗旨是传播Mozilla 基金会的文化,在中国地区推动Mozilla项目的发展,帮助中国地区的用户和开发者更好地使用Mozilla基金会提供的源代码、产品及服务。 Mozilla中国中心的主要任务包括: (一) 对Mozilla 基金会的产品提供汉化版本; (二) 对Mozilla 基金会网站的重要技术文件、政策性文件提供中文翻译; (三) 组织Mozilla技术论坛及相关研讨会; (四) 对中国地区用户提供技术支持和服务; (五)

      话题:Mozilla Firefox

      问题详情:是Mozilla Firefox好还是Inter Explorer好呢?

      推荐回答:这个问题纯属个人爱好问题。。。。

      话题:IE7的安全性和火狐相比哪个更安全

      问题详情:加密 IE 浏览器

      推荐回答:不容置疑 火狐的安全性更加出色Firefox 使用了"沙盒安全模块"(sandbox security model),限制了网页脚本语言对使用者端数据的访问,保护使用者不受恶意脚本语言的攻击。对于网页数据的传输,则使用SSL/TLS的加密方式来保障使用者和网站之间传输数据的隐密性,此外也支持智慧卡来当作数据验证的方式。Mozilla基金会提供了"臭虫奖金"来奖励发现Firefox漏洞的研究者。Mozilla 官方希望安全弱点可以在被恶意利用之前被发现,进而去修正他,避免使用者遭受攻击。因为 Firefox 比起 Inter Explorer 来说有较少尚未修正的安全漏洞,因此提升上网安全性也常常被认为是鼓励使用者由 Inter Explorer 转换到 Firefox 的理由之一