A fim de ajudar webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner online que pode verificar se os servidores web têm as melhores configurações de segurança. Chamada de Observatory, a ferramenta foi inicialmente construída para uso interno por April King, engenheira de segurança da Mozilla, que foi, então, encorajada a expandi-la e torná-la disponível publicamente.
Ela se inspirou no SSL Server Test, da Qualy´s SSL Labs, um scanner muito apreciado que classifica a configuração SSL/TLS de um site e destaca potenciais fraquezas. Como esse scanner, o Observatory usa um sistema de pontuação de 0 a 100, com a possibilidade de pontos extras e que se traduz em graus de F até A+.
No entanto, ao contrário do SSL Server Test, que apenas verifica a implementação TLS de um site, o Observatory checa uma grande variedade de mecanismos de segurança web. Isso inclui seguranças de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), X-XSS-Protection, e outros.
A ferramenta não só verifica a presença dessas tecnologias, mas também se elas são implementadas corretamente. O que o Observatory não faz é verificar se há vulnerabilidades no código, algo que já existe em um grande número de ferramentas gratuitas e pagas.
Em alguns aspectos, alcançar uma configuração segura de site – utilizando todas as tecnologias disponíveis desenvolvidas recentemente por empresas de navegadores – é ainda mais difícil do que encontrar e solucionar vulnerabilidades de código. “Essas tecnologias estão espalhadas em dezenas de documentos padrão, e apesar de artigos individuais falarem sobre elas, não havia um lugar para os operadoras de site acessarem a fim de aprenderem sobre o que cada tecnologia faz, como implementá-la, e como são importantes.
King em um post.
Os resultados do teste do Observatory são apresentados de forma amigável, com links para as diretrizes de segurança web da Mozilla, que trazem descrições e exemplos de implementação. Isso permite que os administradores do site compreendam mais facilmente os problemas detectados durante a verificação e os priorizem.
O código do Observatory é open source. Uma API e ferramentas de linha de comando estão disponíveis para administradores que precisam verificar um grande número de sites periodicamente ou que querem executar essas checagens internamente.
Separamos outros posts para você
Mais da categoria Notícias
Como instalar o SoftMaker FreeOffice 2018 no Ubuntu, Debian, Linux Mint e derivados!
O SoftMaker FreeOffice 2018, é um suíte de escritório criado por uma empresa alemã, e é totalmente compatível com o …
Caprine – Um Facebook Messenger para Linux
O Caprine é um Facebook Messenger para Linux e hoje você pode instalar o Caprine na sua distro Linux, que …
Fedora pede ajuda para testar o novo spin Silverblue
O projeto Fedora publicou ontem o convite para testar o novo spin Silverblue, que na verdade é o antigo Fedora Atomic …
Como instalar o Codelobster IDE no Ubuntu, Debian e derivados!
Codelobster é um ambiente de desenvolvimento integrado portátil (IDE), e que tem suporte a PHP, HTML, CSS, editor j?vascript (IDE) …
Devstrap – Configure facilmente ferramentas de desenvolvimento no Ubuntu
Se você é desenvolvedor e precisa de um conjunto de Ferramentas de Desenvolvimento no Ubuntu, saiba que o Devstrap é …
Como instalar a Docky no Ubuntu, Linux Mint e derivados
Docky é sem dúvida um dos itens que pode ajudar a organizar melhor os aplicativos mais usados ou até mesmo …
Comentar? Suporte? Entre no nosso grupo no Telegram!
Esta precisando de ajuda, suporte ou quer conversar com a gente? Entre em nosso grupo no Telegram, já somos mais de 1500 pessoas, clique AQUI e acesse o nosso link convite.