A fim de ajudar webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner online que pode verificar se os servidores web têm as melhores configurações de segurança. Chamada de Observatory, a ferramenta foi inicialmente construída para uso interno por April King, engenheira de segurança da Mozilla, que foi, então, encorajada a expandi-la e torná-la disponível publicamente.
Ela se inspirou no SSL Server Test, da Qualy´s SSL Labs, um scanner muito apreciado que classifica a configuração SSL/TLS de um site e destaca potenciais fraquezas. Como esse scanner, o Observatory usa um sistema de pontuação de 0 a 100, com a possibilidade de pontos extras e que se traduz em graus de F até A+.
No entanto, ao contrário do SSL Server Test, que apenas verifica a implementação TLS de um site, o Observatory checa uma grande variedade de mecanismos de segurança web. Isso inclui seguranças de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), X-XSS-Protection, e outros.
A ferramenta não só verifica a presença dessas tecnologias, mas também se elas são implementadas corretamente. O que o Observatory não faz é verificar se há vulnerabilidades no código, algo que já existe em um grande número de ferramentas gratuitas e pagas.
Em alguns aspectos, alcançar uma configuração segura de site – utilizando todas as tecnologias disponíveis desenvolvidas recentemente por empresas de navegadores – é ainda mais difícil do que encontrar e solucionar vulnerabilidades de código. “Essas tecnologias estão espalhadas em dezenas de documentos padrão, e apesar de artigos individuais falarem sobre elas, não havia um lugar para os operadoras de site acessarem a fim de aprenderem sobre o que cada tecnologia faz, como implementá-la, e como são importantes.
King em um post.
Os resultados do teste do Observatory são apresentados de forma amigável, com links para as diretrizes de segurança web da Mozilla, que trazem descrições e exemplos de implementação. Isso permite que os administradores do site compreendam mais facilmente os problemas detectados durante a verificação e os priorizem.
O código do Observatory é open source. Uma API e ferramentas de linha de comando estão disponíveis para administradores que precisam verificar um grande número de sites periodicamente ou que querem executar essas checagens internamente.