Notícias

Mozilla lança serviço gratuito que faz varredura de segurança em sites

Para ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner on-line que pode verificar se os servidores web estão com as melhores configurações de segurança no local.

Chamada de Observatory, a ferramenta foi criada inicialmente para uso interno pela engenheira de segurança da Mozilla, April King, que então foi encorajada para ampliar e tornar o recurso disponível para o público geral.

Ela se inspirou no SSL Server Test, da Qualy’s SSL Labs, um scanner muito apreciado que classifica a configuração SSL/TLS de um site e destaca potenciais fraquezas. Assim como o scanner da Qualy’s, o Observatory usa um sistema de pontuação de 0 até 100 – com a possibilidade de pontos extras – que se traduz em notas de F até A+.

Mas, ao contrário do SSL Server Test, que verifica apenas a implementação TLS de um site, a ferramenta da Mozilla faz uma busca por uma grande variedade de mecanismos de segurança. Essa lista inclui bandeiras de seguranças de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), X-XSS-Protection, e outros.

No entanto, o Observatory não apenas verifica a presença dessas tecnologias, mas também se foram implementadas corretamente. 

Vale destacar que o que a ferramenta da Mozilla não faz é escanear o site por vulnerabilidades no código, algo que já existe em uma grande variedade de ferramentas e apps gratuitos e pagos.

Em alguns aspectos, alcançar uma configuração segura de site – usando todas as tecnologias disponíveis desenvolvidas recentemente por empresas de navegadores – é ainda mais difícil do que encontrar e solucionar vulnerabilidades de código.

“Essas tecnologias estão espalhadas em dezenas de documentos padrão, e apesar de artigos individuais poderem falar delas, não havia um lugar para os operadoras de site acessarem para aprenderem sobre o que cada tecnologia faz, como implementá-la, e como são importantes”, afirmou King.

Os resultados dos testes do Observatory são apresentados de uma maneira amigável ao usuário que se conecta com as diretrizes de segurança web da Mozilla, que possuem descrições e exemplos de implementação. Isso permote que os administradores do site entendam mais facilmente os problemas detectados durante a varredura e os priorize.

Fonte: IdgNow

Usamos cookies para melhorar a sua experiência no site. Ao continuar navegando, você concorda com a nossa Política de Cookies.