راه اندازی یک سرویس اسکن امنیتی وب سایت توسط موزیلا
Dubbed Observatory، ابزاری است که در ابتدا توسط April King، مهندس امنیتی موزیلا، برای استفاده خانگی ساخته شد، اما بعدا گسترش یافت و در دسترس تمام جهان قرار گرفت.
او برای ساخت این ابزار از تست SSL Server Test الهام گرفت. این تست در آزمایشگاه Qualys’ SSL انجام شد و در آن یک اسکنر گسترده پیکربندی SSL یا TLS وب سایت را نرخ بندی کرده و نقاط ضعف بالقوه آن را برجسته می کند. Observatoryمانند Qualys، از سیستم نمره دهی 0 تا 100 استفاده می کند اما نمرات آن از F و A بیان می شوند.
بر خلاف آزمون سرور SSL، که تنها TLS سایت را بررسی می کرد، Observatory طیف گسترده ای از مکانیسم های امنیتی وب از جمله پرچم کوکی های امنیتی، امنیت سخت گیرانه HSTS، تاییدیه ها، یکپارچگی زیرمنابع، گزینه های X-Frame، گزینه های محافظتی نوع X، حفاظت X-XSS را اسکن می کند.
این ابزار نه تنها حضور این مکانیسم ها، بلکه نحوه اجرای درست آنها را نیز بررسی می کند. تنها کاری که این ابزار انجام نمی دهد اسکن آسیب پذیری ها در کد واقعی وب سایت است، گزینه ای که در حال حاضر در تعداد زیادی از ابزارهای رایگان و تجاری وجود دارد.
در برخی موارد، دستیابی به یک پیکربندی وب سایت امن حتی سخت تر از پیدا کردن و پچ کردن آسیب پذیری کدها می باشد.
مشکل پیدا کردن منابع آسان برای درک ویژگی های امنیتی وب سایت با استفاده از این اسکنر میزان استفاده آن را پایین آورده و تاکنون تنها 1.3 میلیون وب سایت با Observatory اسکن شده اند و تنها 121984 مورد از آنها نمره قابل قبول دریافت کرده اند.
برخی از وب سایت های خود موزیلا نیز در این آزمون شکست خوردند. به عنوان مثال، addons.mozilla.org یکی از مهم ترین وب سایت های مهم این سازمان، نمره F را دریافت کرد؛ اما بعدا مشکلات آن حل شد و در حال حاضر وب سایت امتیاز را به خود اختصاص داده است.
نتایج آزمایش Observatory به شیوه ای کاربرپسند با لینک هایی به دستورالعمل های امنیتی وب موزیلا، برگشت داده می شوند و این به مدیران سایت ها اجازه می دهد به آسانی مسائل حین اسکن را شناسایی و آنها را اولویت بندی کنند.
با تطبیق این استاندارد حتی برای سایت های کم خطر، توسعه دهندگان، مدیران سیستم، متخصصان امنیتی در سراسر جان می توانند با آن آشنا شده و راحت تر با آن کار کنند.
به گزارش بینهایت،کد این ابزار به صورت اپن سورس است و یک ابزار API و خط فرمان برای مدیرانی که می خواهند تعداد زیادی از وب سایت ها را به صورت دوره ای اسکن کنند و یا می خواهند اسکن ها را به صورت داخلی انجام دهند، در دسترس هستند.
او برای ساخت این ابزار از تست SSL Server Test الهام گرفت. این تست در آزمایشگاه Qualys’ SSL انجام شد و در آن یک اسکنر گسترده پیکربندی SSL یا TLS وب سایت را نرخ بندی کرده و نقاط ضعف بالقوه آن را برجسته می کند. Observatoryمانند Qualys، از سیستم نمره دهی 0 تا 100 استفاده می کند اما نمرات آن از F و A بیان می شوند.
بر خلاف آزمون سرور SSL، که تنها TLS سایت را بررسی می کرد، Observatory طیف گسترده ای از مکانیسم های امنیتی وب از جمله پرچم کوکی های امنیتی، امنیت سخت گیرانه HSTS، تاییدیه ها، یکپارچگی زیرمنابع، گزینه های X-Frame، گزینه های محافظتی نوع X، حفاظت X-XSS را اسکن می کند.
این ابزار نه تنها حضور این مکانیسم ها، بلکه نحوه اجرای درست آنها را نیز بررسی می کند. تنها کاری که این ابزار انجام نمی دهد اسکن آسیب پذیری ها در کد واقعی وب سایت است، گزینه ای که در حال حاضر در تعداد زیادی از ابزارهای رایگان و تجاری وجود دارد.
در برخی موارد، دستیابی به یک پیکربندی وب سایت امن حتی سخت تر از پیدا کردن و پچ کردن آسیب پذیری کدها می باشد.
مشکل پیدا کردن منابع آسان برای درک ویژگی های امنیتی وب سایت با استفاده از این اسکنر میزان استفاده آن را پایین آورده و تاکنون تنها 1.3 میلیون وب سایت با Observatory اسکن شده اند و تنها 121984 مورد از آنها نمره قابل قبول دریافت کرده اند.
برخی از وب سایت های خود موزیلا نیز در این آزمون شکست خوردند. به عنوان مثال، addons.mozilla.org یکی از مهم ترین وب سایت های مهم این سازمان، نمره F را دریافت کرد؛ اما بعدا مشکلات آن حل شد و در حال حاضر وب سایت امتیاز را به خود اختصاص داده است.
نتایج آزمایش Observatory به شیوه ای کاربرپسند با لینک هایی به دستورالعمل های امنیتی وب موزیلا، برگشت داده می شوند و این به مدیران سایت ها اجازه می دهد به آسانی مسائل حین اسکن را شناسایی و آنها را اولویت بندی کنند.
با تطبیق این استاندارد حتی برای سایت های کم خطر، توسعه دهندگان، مدیران سیستم، متخصصان امنیتی در سراسر جان می توانند با آن آشنا شده و راحت تر با آن کار کنند.
به گزارش بینهایت،کد این ابزار به صورت اپن سورس است و یک ابزار API و خط فرمان برای مدیرانی که می خواهند تعداد زیادی از وب سایت ها را به صورت دوره ای اسکن کنند و یا می خواهند اسکن ها را به صورت داخلی انجام دهند، در دسترس هستند.
