Mozilla网站安全分析工具Observatory已发布

Mozilla最近发布了一款名为Observatory的网站安全分析工具,意在鼓励开发者和系统管理员增强自己网站的安全配置。

该工具的用法非常简单:输入网站URL,即可访问并分析网站HTTP标头,随后可针对网站安全性提供数字形式的分数和字母代表的安全级别。该工具可分析大量安全配置,取决于所发现问题的严重程度,会通过扣分的方式对分数进行修正。该工具检查的主要范围包括:

Cookie 跨源资源共享(CORS) 内容安全策略 HTTP公钥固定(Public Key Pinning) HTTP严格传输安全 重定向 子资源完整性(Subresource Integrity) X-Content-Type-Options X-Frame-Options X-XSS-Protection
根据Mozilla对评分细节的介绍,每个网站默认可得到100分,随后将根据具体配置扣分或加分:

所有网站的基准分为100分,以此为基础进行扣分或加分。最低分为0分,但最高分没有上限。目前HTTP Observatory可给出的理论最高分为130。但是要注意,尽管用字母代表的安全等级范围和修正后的分数在本质上是随机的,但实际上这些评分源自业界专家的反馈,代表了某一网站通过测试或测试失败的可能性。

例如在CORS测试中,包含CORS标头但仅限于特定域名的网站不会因此被扣分,然而如果同一个网站在使用CORS XML文件的同时允许所有域名,将会扣掉50分,50分是修正分中可以扣除的最大分值。

Observatory由一个核心库,一个CLI,以及一个Web界面组成。CLI可供开发者将评分功能用脚本的方式纳入测试套件或部署逻辑中。对于只需要偶尔使用的用户,可以在Web界面上输入网站地址并设置其他选项。该工具还可以调用其他安全分析工具,例如securityheaders.io和hstspreload.appspot.com,借此提供更深入的检测分析。

在该工具的网站上,每个类别都提供了一个指向Mozilla相关话题文档的链接,开发者可以通过这个链接了解如何以更好的方式实现安全策略。Mozilla提供的CORS指南中称:

除非明确需要,否则不应出现[CORS信息]。此类信息的用例包括为JavaScript/CSS库和公开API端点提供托管的内容交付网络(CDN)等。如果使用了此类信息,必须将其锁定至尽可能少,正常使用绝对必要的源(Origin)和资源。

Observatory网站本身在该工具中获得了A+以及120分的成绩,而mozilla.org获得了D+以及40分的成绩。该项目已开源并已发布至GitHub。

本文转自d1net(转载)

时间: 2024-09-20 19:37:57

Mozilla网站安全分析工具Observatory已发布的相关文章

CYQ.IISLogViewer 一款IIS 日志分析工具 V1.0 发布[提供源码]

说几句:      昨天在 秋色开源团队  群里和网友聊天,有网友提到了一个概念,做站需要知道的:分析IIS日志.      然后上网找了一下资料看了下,可是 秋色园 寄放在人家虚拟目录的子目录中,根本没有IIS日志可言,于是昨晚就直接把秋色园移往新购买的VPS,正式搬到传说中的赌城"拉斯维加斯"去了,中间出了不少问题,折腾到夜里4点.      于是目前 秋色园 所在的地址就是"拉斯维加斯"了,不过数据库仍是用的Access. 下面进正题,于是自己跑IIS看了一下

浅谈网站百度权重分析工具的原理及可靠性

自从谷歌退出中国以后,pr的更新就开始变的极其不规律,甚至经历过去年4.1更新之后,半年都不没再更新一次的状况.就当大家都认为谷歌把pr取消了,结果又突然在去年12月份更新了一次,这次更新了没多久呢,又更新了一次,大家对pr的信心也就稍稍恢复了一些.前几天,谷歌官方查询pr的端口发生了变化,导致国内查询pr的工具失效,于是关于谷歌取消pr的言论甚嚣尘上,不过事实证明pr取消只是一个扯,现在各个工具查询pr的功能也都已经恢复了.不过,经过这么一来二去的折腾,pr的地位也正在逐渐下降着.事实上,就算

SEO 工具之GoogleAnalytics网站流量分析详解

Google分析是Google提供的一款免费的网站流量分析工具. GoogleAnalytics网站流量分析:http://www.Google.cn/analytics/zh-CN/ GoogleAnalytics简介: Google分析是Google提供的一款免费的网站流量分析工具. 目前,对于没有GoogleAdword账户的用户每日限制500万PV的统计,Adword用户则没有限制. 操作简单:只需把一个js代码放入需要统计的每一个页面. 可以选择时区. 分析非常全面精确. 在业界深受好

网站访问分析 Web-IA V7.1 专业版 下载_常用工具

网站访问分析 Web-IA V7.1 专业版 软件大小: 3895 KB 软件语言: 简体中文 软件类别: 国产软件 / 共享版 / 网络监测 应用平台: Win9x/NT/2000/XP/2003 开 发 商: http://www.web-ia.cn/     网站访问分析Web-IA,当今世界上分析速度最快.功能最强大的网站访问分析软件之一.微软中国选择系统集成工具软件,中国电信"互联星空"网站访问分析工具.深入挖掘站访问信息,改进网站设计,提高网站价值. 1.搜索引擎导入分析:

网站流量分析改善营销活动

流量 一旦你的网站被有效地纳入广告.公共关系和搜索引擎的综合性营销计划,你就希望能够检测执行效果,以了解你的营销计划是否可行.营销人都在寻找更好的营销活动反馈信息. 评估回报的一个好办法是检查你的网站日志资料,分析网站流量,寻找用户行为的线索.通过分析用户行为资料,可以调整网站,更好地为客户服务,增进收益. 知道你的网站访问者来自哪里以及他们喜欢和不喜欢的东西,这一点很重要.流量分析能够在两个重要的领域提供增进营销效果的信息:(1)改进网站,让更多的访问者变成你的客户:(2)改进

网站SEO优化、IIS日志分析工具 IISLogViewer V2.0 发布

PS:为了有个响亮些的名字,软件中文名更名为:点格网站日志分析器   本次发布IIS日志分析工具[IISLogViewer] V2.0版本.   下面单刀直入,看下 IIS日志分析工具 V2.0 版本所带来新的教程:   1:运行IISLogViewer.exe,启动IIS日志分析工具,界面如下图:     2:可以选择单个IIS日志文件分析或整个站点文件夹进行分析,这里点击"批量文件夹",选择要分析的IIS日志文件目录,如下图:     2-1:选择好要分析的IIS日志文件或文件夹后

谷歌发布计算机固件分析工具

如果计算机中毒太深,最好的杀毒软件可能也查不出其中的恶意代码.而随着恶意软件入侵能力不断提高,计算机固件已变成它们的首选目标.据国际数据集团新闻社日前报道,谷歌子公司VirusTotal发布了一种分析固件的新工具,能帮用户防止恶意软件入侵计算机固件. 固件是计算机启动时,连接硬件和操作系统的低层代码.通过攻击固件,加入的恶意代码无法从计算机中删除. VirusTotal是一个免费分析文件和Url地址的在线服务网站,能帮助用户找出恶意内容.新增的固件分析工具旨在详细描述固件映像,检测其是合法的还是

网站分析工具中的数据与PPC报告数据不一致的原因

如果使用按点击付费(PPC)的网站,一般可以获得来自各个网络的报告.而这些数据与网站分析工具中的数据常会出现不一致的情况,主要因为有以下几种原因: 1.跟踪类型URLs:流失的PPC点击 跟踪类型的URLs需要在PPC账户中设置,以便区分来自搜索引擎,例如Google.com或Yahoo.com的自然点击和付费点击.例如,跟踪类型URLs可以通过在PPC账户中将登陆页面的URLs简单修改成www.mysite.com?source=adwords而得到.忘记或者设置错误跟踪类型URLs可能会导致

14个免费访客行为分析工具 帮你分析你的网站

为什么你网站的访客不断的离开,甚至有些永远都不再回来!本文介绍的14个免费访客行为分析工具将帮助你: 1. 了解你的访客需求 2. 提升用户体验 3. 提高网站可用性 4. 留住更多的回头客 5. 提高销售的成功率 关于网站设计有一个很大问题: 如果你想让你网站的访客更好的转换为你的客户(或者忠实读者),你需要理解这一点,为什么大多数的访问者不再返回你的网站! 但是这些来来去去的访客没有留下他们的足迹!你怎么能知道他们到底需要一些什么呢?如何才能知道什么才能让他们采取行动,购买或者订阅你的产品或