Ο τεχνικός ασφαλείας του ιδρύματος Mozilla April Knight κυκλοφόρησε ένα project που ονομάζει Observatory. Το Observatory είναι ένα δωρεάν βοηθητικό πρόγραμμα σάρωσης ασφαλείας ιστοσελίδων, παρόμοιο με τις υπηρεσίες σάρωσης SSL Labs και High-Tech Bridge.
Η υπηρεσία έχει αναπτυχθεί με Python και διατίθενται στο GitHub. Ήταν υπό ανάπτυξη για μήνες και εγκρίθηκε για μια δημόσια κυκλοφορία μόλις χθες.
Το Οbservatory απευθύνεται σε προγραμματιστές, διαχειριστές συστημάτων, και επαγγελματίες της ασφάλειας που θέλουν να ρυθμίσουν ιστοσελίδες που χρησιμοποιούν σύγχρονα πρωτόκολλα ασφαλείας.
Το Observatory σαρώνει κάθε ιστοσελίδα για την παρουσία βασικών χαρακτηριστικών ασφαλείας και, στη συνέχεια, την βαθμολογεί με βαθμούς από το 0 έως και το 130, τους οποίους στη συνέχεια μετατρέπει σε ένα σκορ από το Α έως το F.
Στην τρέχουσα μορφή του το script, σαρώνει και βαθμολογεί για τις παρακάτω υπηρεσίες:
Content Security Policy (CSP) status,
cookie files using Secure flag,
Cross-Origin Resource Sharing (CORS) status,
HTTP Public Key Pinning (HPKP) status,
HTTP Strict Transport Security (HSTS) status,
ποσοστό automatic redirection από HTTP σε HTTPS,
Subresource Integrity (SRI) status,
X-Content-Type-Options status,
X-Frame-Options (XFO) status, και
X-XSS-Protection status.
Σύμφωνα με τον Knight, ο οποίος έχει πραγματοποιήσει αυτόματη σάρωση σε πάνω από 1,3 εκατομμύρια ιστοσελίδες, πάνω από 91% των σύγχρονων ιστοσελίδων αποτυγχάνουν στις δοκιμές του Οbservatory.
Κατεβάστε το script
