Mozilla上线免费网站安全测试服务Observatory

IT之家讯火狐浏览器出品方Mozilla近日上线了一款名为Observatory的网站安全免费测试服务，该服务由安全工程师April Knight打造，与SSL Labs和High-Tech Bridge的扫描服务类似。

这项服务基于Python代码编写，历时数月完成，代码目前已经上传到了GitHub。这项服务为开发者、系统管理员和安全专家打造，便于专业人员使用现代安全协议调试网站。

网站采用五级（A、B、C、D和F）分级法来衡量受检网站的安全程度，最高级为A+，不合格为F，满分为100分。

扫描内容包括：

•内容安全策略（CSP）状态

•Cookies文件使用安全标志

•跨域资源共享（CORS）状态

•HTTP公钥固定（HPKP）状态

•HTTP严格传输安全（HSTS）状态

•从HTTP到HTTPS的自动重定向

•子资源的完整性

•X内容类型选项状态

•X框架选项

•X-XSS保护状态

这些内容都是基本安全推荐项目，大多数网站都很难全部实现。在目前已经受检的130多万网站中，有91%的评级都是“不合格”的F，说明上述标准逐一实现的难度较大。就连微软的评级都只是D（勉强及格），而东家Mozilla.org也只是一个D+的成绩。