Mozillaは,Webサイトのセキュリティ分析ツールのObservatoryをローンチした。開発者とシステム管理者による,Webサイトのセキュリティ設定向上の支援を目指している。
使い方は簡単だ - WebサイトのURLを入力すれば,ツールが接続してHTTPヘッダを解析し,数値化されたスコアと調査結果を提供してくれる。サイトはさまざまなプロパティで確認され,問題の重要度に応じて,それぞれに負のスコア因子が課される仕組みだ。トップレベルのチェックは次のものだ。
- クッキー
- Cross-origin Resource Sharing (CORS)
- Content Security Policy (CSP)
- HTTP Public Key Pinning (HPKP)
- HTTP Strict Transport Security (HSTS)
- リダイレクト
- Subresource Integrity (SRI)
- X-Content-Type-Options
- X-Frame-Options
- X-XSS-Protection
Mozillaが提供するスコア方法の詳細によると,各サイトはスコア100から始まり,その構成に応じてポイントが加算あるいは減算される。
Webサイトは100のベースラインスコアで始まり,そこからペナルティまたはボーナスを受け取ります。最低点は0ですが,最高点はありません。現在のHTTP Observatoryで可能な最高点は130です。調査の範囲と修正は基本的に任意ですが,テストの合否の重要性評価は,業界の専門家からのフィードバックに基づいたものである点に注意してください。
例えばCORSテストに関して,CORSヘッダを特定のドメインに制限しているサイトには,その基準に対する負のポイントは課されないが,同じサイトがCORS XMLファイルを使用しながらもすべてのドメインを許可している場合には,負のスコア因子として最大値であるマイナス50ポイントが付加される。
ObservatoryはコアライブラリとCLI,Webインターフェースで構成される。CLIを利用すれば,開発者が自身のWebサイトのスコアリングをテストスイートまたは実施ロジックとしてスクリプト記述することができる。よりカジュアルなオブザーバには,Webサイトアドレスとオプションの指定可能なWebインターフェースが用意されている。ツールからsecurityheaders.ioやhstspreload.appspot.comなど他のセキュリティアナライザにアクセスして,さらに詳細なカバレッジを得ることも可能だ。
Webサイトの各カテゴリには,関連するMozillaの資料へのリンクがあり,セキュリティのベストプラクティスを実装するための確実なガイダンスを得ることができる。例えばCORSに関するガイダンスでは,
[CORS情報は]特に必要がない限り,提供するべきではありません。ユースケースとしては,JavaScript/CSSライブラリのホストや公開APIエンドポイントを提供する,コンテンツ配信ネットワーク(CDN)などが考えられます。使用する場合は,特定の機能に必要ないくつかのオリジンないしリソースに対象を限定することが必要です。
Observatoryサイト自体はスコア120でA+の評価を受け取っているが,mozilla.orgはスコア40でD+評価である。プロジェクトはオープンソースで,GitHubに公開されている。
この記事を評価
- 編集者評
- 編集長アクション