BT

Início Notícias Observatory, nova ferramenta de análise de segurança de website da Mozilla

Observatory, nova ferramenta de análise de segurança de website da Mozilla

Favoritos

A Mozilla lançou uma nova ferramenta de análise de websites, chamada de Observatory com objetivo de encorajar desenvolvedores e administradores de sistemas a melhorar as configurações de segurança de seus sites.

A ideia é simples: ao digitar a URL do website, a ferramenta irá conectar e analisar os cabeçalhos HTTP, fornecendo uma análise quantitativa (pontuação numérica). Há diversas propriedades que a ferramenta analisa, e para cada propriedade é aplicada uma pontuação negativa ou positiva dependendo do valor analisado. As verificações mais importantes são:

  • Cookies;
  • Compartilhamento de recursos de "origem cruzada" (cross origin) (CORS);
  • Política de segurança de conteúdo;
  • HTTP Public Key Pinning;
  • HTTP Strict Transport Security;
  • Redirecionamentos;
  • Integridade de Sub-recursos;
  • X-Content-Type-Options;
  • X-Frame-Options;
  • X-XSS Protection.

De acordo com os detalhes de pontuação do Mozilla, cada site começa com 100 de pontuação e perde ou ganha pontos dependendo das configurações:

Todo site começa com uma base de 100 pontos, e recebe penalidades ou bônus. Embora a pontuação mínima seja zero, não há uma pontuação máxima. Atualmente, a maior pontuação possível no HTTP Observatory é de 130. Note que apesar de a pontuação ser essencialmente arbitrária, os critérios para calcular são baseados em opiniões de profissionais do mercado sobre o que é necessário para aprovar ou reprovar um determinado teste.

Por exemplo, no teste de CORS, um site com cabeçalho CORS mas restrito para domínio específico não recebe pontuação negativa. No entanto, se o mesmo site permitir todos os domínios enquanto estiver usando um arquivo CORS XML, será aplicado o maior modificador negativo que é no valor de 50 pontos.

O Observatory é dividido em uma biblioteca central, a ferramenta CLI, e uma interface web. A ferramenta CLI permite que os desenvolvedores pontuem seu site na etapa de testes. E para quem deseja apenas executar casualmente, a interface web tem uma caixa que permite qualquer visitante digite o endereço do site, bem como algumas opções. A ferramenta também possui links para outros analisadores de segurança, tais como securityheaders.io e hstspreload.appspot.com para fornecer uma cobertura mais profunda.

No site, cada categoria tem um link para a documentação do Mozilla com um guia sobre a melhor forma de implementar as práticas de segurança. A orientação da Moziila para CORS diz:

[Informação sobre CORS] Não deve estar presente a menos que seja especificamente necessária. Os casos de uso incluem redes de distribuição de conteúdo (CDNs) que fornecem hospedagem para bibliotecas JavaScript/CSS e terminais de API públicas. Se estiverem presentes, eles devem ser bloqueados para algumas origens e recursos, necessário para um bom funcionamento.

O próprio site do Observatory recebe uma pontuação A+ com 120 pontos enquanto o site mozilla.org recebe um D+ com um placar de 40 pontos. O projeto é open source e está disponível no GitHub.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Seu cadastro no InfoQ está atualizado? Poderia rever suas informações?

Nota: se você alterar seu email, receberá uma mensagem de confirmação

Nome da empresa:
Cargo/papel na empresa:
Tamanho da empresa:
País:
Estado:
Você vai receber um email para validação do novo endereço. Esta janela pop-up fechará em instantes.