BT

Observatory, nova ferramenta de análise de segurança de website da Mozilla

| por David Iffland Seguir 4 Seguidores , traduzido por Júlia Fernandes Gonçalves Seguir 1 Seguidores em 13 set 2016. Tempo estimado de leitura: 2 minutos |

A Mozilla lançou uma nova ferramenta de análise de websites, chamada de Observatory com objetivo de encorajar desenvolvedores e administradores de sistemas a melhorar as configurações de segurança de seus sites.

A ideia é simples: ao digitar a URL do website, a ferramenta irá conectar e analisar os cabeçalhos HTTP, fornecendo uma análise quantitativa (pontuação numérica). Há diversas propriedades que a ferramenta analisa, e para cada propriedade é aplicada uma pontuação negativa ou positiva dependendo do valor analisado. As verificações mais importantes são:

  • Cookies;
  • Compartilhamento de recursos de "origem cruzada" (cross origin) (CORS);
  • Política de segurança de conteúdo;
  • HTTP Public Key Pinning;
  • HTTP Strict Transport Security;
  • Redirecionamentos;
  • Integridade de Sub-recursos;
  • X-Content-Type-Options;
  • X-Frame-Options;
  • X-XSS Protection.

De acordo com os detalhes de pontuação do Mozilla, cada site começa com 100 de pontuação e perde ou ganha pontos dependendo das configurações:

Todo site começa com uma base de 100 pontos, e recebe penalidades ou bônus. Embora a pontuação mínima seja zero, não há uma pontuação máxima. Atualmente, a maior pontuação possível no HTTP Observatory é de 130. Note que apesar de a pontuação ser essencialmente arbitrária, os critérios para calcular são baseados em opiniões de profissionais do mercado sobre o que é necessário para aprovar ou reprovar um determinado teste.

Por exemplo, no teste de CORS, um site com cabeçalho CORS mas restrito para domínio específico não recebe pontuação negativa. No entanto, se o mesmo site permitir todos os domínios enquanto estiver usando um arquivo CORS XML, será aplicado o maior modificador negativo que é no valor de 50 pontos.

O Observatory é dividido em uma biblioteca central, a ferramenta CLI, e uma interface web. A ferramenta CLI permite que os desenvolvedores pontuem seu site na etapa de testes. E para quem deseja apenas executar casualmente, a interface web tem uma caixa que permite qualquer visitante digite o endereço do site, bem como algumas opções. A ferramenta também possui links para outros analisadores de segurança, tais como securityheaders.io e hstspreload.appspot.com para fornecer uma cobertura mais profunda.

No site, cada categoria tem um link para a documentação do Mozilla com um guia sobre a melhor forma de implementar as práticas de segurança. A orientação da Moziila para CORS diz:

[Informação sobre CORS] Não deve estar presente a menos que seja especificamente necessária. Os casos de uso incluem redes de distribuição de conteúdo (CDNs) que fornecem hospedagem para bibliotecas JavaScript/CSS e terminais de API públicas. Se estiverem presentes, eles devem ser bloqueados para algumas origens e recursos, necessário para um bom funcionamento.

O próprio site do Observatory recebe uma pontuação A+ com 120 pontos enquanto o site mozilla.org recebe um D+ com um placar de 40 pontos. O projeto é open source e está disponível no GitHub.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Faça seu login para melhorar sua experiência com o InfoQ e ter acesso a funcionalidades exclusivas


Esqueci minha senha

Follow

Siga seus tópicos e editores favoritos

Acompanhe e seja notificados sobre as mais importantes novidades do mundo do desenvolvimento de software.

Like

Mais interação, mais personalização

Crie seu próprio feed de novidades escolhendo os tópicos e pessoas que você gostaria de acompanhar.

Notifications

Fique por dentro das novidades!

Configure as notificações e acompanhe as novidades relacionada a tópicos, conteúdos e pessoas de seu interesse

BT