من أجل مساعدة أصحاب المواقع حماية مواقعها على شبكة الإنترنت والمستخدمين بشكل أفضل، وقد بنيت موزيلا ماسح الانترنت التي يمكن أن تحقق إذا كانت خوادم الويب إعدادات الأمان أفضل في المكان.
مرصد يطلق عليها اسم، تم بناء أداة في البداية للاستخدام في المنزل من قبل موزيلا مهندس الأمن أبريل الملك، الذي كان آنذاك شجع على توسيعه وجعله متاحا خارج الشركة.
أخذت الإلهام من اختبار SSL Server من Qualys "SSL مختبرات، ماسح ضوئي بتقدير واسع يقيم SSL تكوين موقع على شبكة الانترنت / TLS ويسلط الضوء على نقاط الضعف المحتملة. مثل الماسح الضوئي Qualys، يستخدم مرصد نظام التهديف 0-100 - مع إمكانية نقاط مكافأة اضافية - وهو ما يترجم إلى درجات من F إلى A +.
وخلافا للاختبار SSL خادم، والذي يتحقق تنفيذ TLS موقع على شبكة الانترنت فقط، مرصد موزيلا بمسح لمجموعة واسعة من الآليات الأمنية على شبكة الإنترنت. وتشمل تلك الأعلام الأمن الكعكة، عبر المنشأ تقاسم الموارد، وسياسة الأمن المحتوى، HTTP المفتاح العمومي التدبيس، HTTP الصارم أمن النقل، إعادة توجيه والنزاهة subresource، X-الإطار-خيارات، X-المحتوى-خيارات نوع، X-XSS-حماية ، و اكثر.
الأداة لا يتحقق فقط من وجود هذه التقنيات، ولكن أيضا سواء أكانت تنفيذها بشكل صحيح. ما الأداة لا يفعل هو مسح لمواطن الضعف في رمز الموقع الفعلي، شيء موجود بالفعل في عدد كبير من الأدوات المجانية والتجارية.
في بعض النواحي، وتحقيق تكوين موقع آمن - باستخدام كل التقنيات المتاحة وضعت في السنوات الأخيرة من قبل صانعي المتصفح - هو أصعب من إيجاد وتصحيح نقاط الضعف التعليمات البرمجية.
"وتنتشر هذه التقنيات على عشرات الوثائق القياسية، وعلى الرغم من المقالات الفردية قد يتحدث عنها، لم يكن هناك مكان واحد للذهاب لمشغلي الموقع لمعرفة ما كل من التكنولوجيات لا، وكيفية تنفيذها ومدى أهمية كانوا، "وقال الملك في بلوق وظيفة.
وقد ساهمت هذه الصعوبة في إيجاد سهلة لفهم الموارد حول هذه الميزات الأمن الموقع لمعدلاتها اعتماد منخفضة، وينعكس في فحص 1300000 المواقع يؤديها مع مرصد. تلقى فقط 121984 على درجة النجاح.
وكانت بعض المواقع موزيلا الخاصة بين تلك التي فشلت في الاختبار. على سبيل المثال، عندما تم فحصها لأول مرة مع المرصد، addons.mozilla.org، واحدة من أكثر المواقع الهامة للمنظمة، تلقى واو ومنذ ذلك الحين تم إصلاح المشكلات وفقد صنفت الموقع A +.
يتم عرض نتائج الاختبار مرصد بطريقة سهلة الاستخدام مع وصلات إلى المبادئ التوجيهية الأمنية على شبكة الإنترنت موزيلا، والتي لها أوصاف وأمثلة التنفيذ. هذا يسمح لمسؤولي الموقع لفهم أكثر سهولة القضايا المكتشفة أثناء الفحص وتحديد أولويات لهم.
"-، بعد كل شيء، والاحتياجات الأمنية للموقع مثل جيثب هي صفقة جيدة أكثر تعقيدا من تلك التي بلوق الشخصية بطبيعة الحال، فإن نتائج المرصد قد لا تكون دقيقة تماما لموقعك" وقال الملك. "من خلال التشجيع على اعتماد هذه المعايير حتى لمواقع منخفضة المخاطر، ونحن نأمل لجعل المطورين، ومسؤولي النظام، والمتخصصين في مجال الأمن في جميع أنحاء العالم بالراحة وعلى دراية بها."
التعليمات البرمجية خلف المرصد مفتوح المصدر. تتوفر للمسؤولين الذين بحاجة إلى مسح عدد كبير من المواقع بشكل دوري أو الذين يرغبون في أداء تلك بمسح داخليا وأدوات API وسطر الأوامر.
0 التعليقات: