BT

MozillaがWebサイトセキュリティ分析ツールのObservatoryを提供

| 作者: David Iffland フォローする 4 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2016年10月13日. 推定読書時間: 3 分 |

原文(投稿日:2016/08/31)へのリンク

Mozillaは,Webサイトのセキュリティ分析ツールのObservatoryをローンチした。開発者とシステム管理者による,Webサイトのセキュリティ設定向上の支援を目指している。

使い方は簡単だ - WebサイトのURLを入力すれば,ツールが接続してHTTPヘッダを解析し,数値化されたスコアと調査結果を提供してくれる。サイトはさまざまなプロパティで確認され,問題の重要度に応じて,それぞれに負のスコア因子が課される仕組みだ。トップレベルのチェックは次のものだ。

  • クッキー
  • Cross-origin Resource Sharing (CORS)
  • Content Security Policy (CSP)
  • HTTP Public Key Pinning (HPKP)
  • HTTP Strict Transport Security (HSTS)
  • リダイレクト
  • Subresource Integrity (SRI)
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

Mozillaが提供するスコア方法の詳細によると,各サイトはスコア100から始まり,その構成に応じてポイントが加算あるいは減算される。

Webサイトは100のベースラインスコアで始まり,そこからペナルティまたはボーナスを受け取ります。最低点は0ですが,最高点はありません。現在のHTTP Observatoryで可能な最高点は130です。調査の範囲と修正は基本的に任意ですが,テストの合否の重要性評価は,業界の専門家からのフィードバックに基づいたものである点に注意してください。

例えばCORSテストに関して,CORSヘッダを特定のドメインに制限しているサイトには,その基準に対する負のポイントは課されないが,同じサイトがCORS XMLファイルを使用しながらもすべてのドメインを許可している場合には,負のスコア因子として最大値であるマイナス50ポイントが付加される。

ObservatoryはコアライブラリとCLI,Webインターフェースで構成される。CLIを利用すれば,開発者が自身のWebサイトのスコアリングをテストスイートまたは実施ロジックとしてスクリプト記述することができる。よりカジュアルなオブザーバには,Webサイトアドレスとオプションの指定可能なWebインターフェースが用意されている。ツールからsecurityheaders.iohstspreload.appspot.comなど他のセキュリティアナライザにアクセスして,さらに詳細なカバレッジを得ることも可能だ。

Webサイトの各カテゴリには,関連するMozillaの資料へのリンクがあり,セキュリティのベストプラクティスを実装するための確実なガイダンスを得ることができる。例えばCORSに関するガイダンスでは,

[CORS情報は]特に必要がない限り,提供するべきではありません。ユースケースとしては,JavaScript/CSSライブラリのホストや公開APIエンドポイントを提供する,コンテンツ配信ネットワーク(CDN)などが考えられます。使用する場合は,特定の機能に必要ないくつかのオリジンないしリソースに対象を限定することが必要です。

Observatoryサイト自体はスコア120でA+の評価を受け取っているが,mozilla.orgはスコア40でD+評価である。プロジェクトはオープンソースで,GitHubに公開されている。

 
 

この記事を評価

関連性
スタイル
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT