Um novo serviço da Mozilla faz a verificação de sites.
Pretendendo ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner online que pode verificar se os servidores web têm as melhores configurações de segurança. Chamada de Observatory, a ferramenta foi inicialmente construída para uso interno por April King, que é engenheira de segurança da Mozilla, e ela foi, então, encorajada a expandir a sua criação e torná-la publica.
Essa ferramemnta foi inspirada no SQL Server Test, da Qualy´s SSL Labs, que é um scanner muito apreciado que classifica a configuração SSL/TLS de um site e destaca as suas potenciais fraquezas. Como esse scanner, o Observatory usa um sistema de pontuação de 0 a 100, com a possibilidade de pontos extras e que se traduz em graus que vão de F até A+.
Entretanto, ao contrário do SSL Server Test, que somente verifica a implementação TLS de um site, o Observatory checa uma grande variedade de mecanismos de segurança da web. Isso inclui seguranças de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), X-XSS-Protection, e outros.
Essa ferramenta não só verifica a presença dessas tecnologias, mas também se elas foram implementadas corretamente. O que o Observatory não faz é verificar a existência de vulnerabilidades no código, algo que já existe em um grande número de ferramentas gratuitas e pagas.
Em alguns aspectos, alcançar uma configuração segura de site – utilizando todas as tecnologias disponíveis desenvolvidas recentemente por empresas de navegadores – é ainda mais difícil do que encontrar e solucionar vulnerabilidades de código. “Essas tecnologias estão espalhadas em dezenas de documentos padrão, e apesar de artigos individuais falarem sobre elas, não havia um lugar para os operadoras de site acessarem a fim de aprenderem sobre o que cada tecnologia faz, como implementá-la, e como são importantes”, afirmou King em um post.
Os resultados do teste do Observatory são apresentados de forma amigável, com links para as diretrizes de segurança web da Mozilla, que trazem descrições e exemplos de implementação. Isso permite que os administradores do site compreendam mais facilmente os problemas detectados durante a verificação e os priorizem.
Vale observar que o código do Observatory é open source. além de uma API e uma ferramentas de linha de comando estarem disponíveis para administradores que precisam verificar um grande número de sites periodicamente ou que queiram executar essas checagens internamente.
Para ver o GitHub do Observatory, clique aqui
Até a próxima!!!
Nenhum comentário:
Postar um comentário