新年新版本!网站安全度评估工具 MDN Observatory 即将推出 2.0
笔者是 Firefox 的重度用户,自然也关注 Mozilla 推出的各种工具。比如 MDN Observatory,这个用于评估网站安全程度的工具。据 Mozilla MDN(Mozilla Developer Network,谋智开发者网络)团队博客介绍,该工具将会在2024年1月25日推出新的2.0版本。
笔者:国际认证信息系统审计师、软考系统分析师
MDN Observatory,直译 MDN 天文台,感觉怪怪的所以下文都还是直接用英文名字。这个工具的介绍文章并不多,可能是由于没有中文版界面的原因。
MDN Observatory 本身是开源的,项目地址在:
https://github.com/mozilla/http-observatory
Mozilla 为公众提供了可直接使用的平台。除了提供 WEB 界面使用外,还提供了 API 可供开发者调用进行安全检查。
但必须注意:仅在获得了恰当的授权时才能进行网站扫描,否则不仅违反了 MDN Observatory 的使用许可,还触犯了《网络安全法》。
据Mozilla MDN 团队博客内容,2.0版本将会包括如下4种主要变化:
根据不断发展的行业标准和最佳实践,Mozilla 正在修改 MDN Observatory 的评分指标和算法,将更准确地反映出网站的安全性情况。
为提高可用性和提供更多的安全信息,MDN Observatory 的界面将会被重新设计。
新的MDN Observatory 将提供实时的安全分析和可操作的建议,使用户能更迅速地调整网站的安全设置并立即获得分析反馈。笔者认为,此举能极大地提高网站站长对安全态势的响应能力。
MDN Observatory 将被整合到Mozilla开发者网络,提高MDN的价值。笔者注:鉴于MDN提供了收费服务,未知是否 MDN Observatory 也会提供功能更丰富但收费的版本。
我们可以在新版本发布之前,先看看现在的1.0版本提供了什么功能。工具的使用并不复杂,打开工具的入口界面:
https://observatory.mozilla.org/
输入网站的网址,选择评估结果是否向公众公开,然后提交进行评估。MDN Observatory 会给出对网站(服务器)的HTTP、TLS、SSH这三类功能情况的评估结果,以及一些由第三方安全机构提供的安全评估结果。
对于网站实现HTTP/HTTPS协议的安全情况,现在包括了11项评分。对网站的评分是先给100分,然后根据检查评估结果进行加分或减分,按获得的分数所落入的区间评定安全等级从A+到F共13项等级。
网站可获得的最低分是零分,在得分不少于90分时会执行附加分评估,综合最高分可达到135分。详细的评分说明可见如下网址:
https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md
简单列举这11项评估项包括:
- Content Security Policy
- Cookies
- Cross-origin Resource Sharing
- HTTP Public Key Pinning
- HTTP Strict Transport Security
- Redirection
- Referrer Policy
- Subresource Integrity
- X-Content-Type-Options
- X-Frame-Options
- X-XSS-Protection
其中Cookies一项还会专门检查是否具备以下4项属性:
- Secure
- HttpOnly
- SameSite
- Prefixed
限于篇幅,本篇就不展开讲这些评估项目和具体属性了。总之如果 MDN Observatory 给出了扣分项,那就对应地实现这个项目然后重新评估,直到能消除的扣分项都全部消除为止。
该功能对使用了HTTPS加密访问的网站评估所使用的证书的安全性和兼容性。
评估方法是根据网站证书加密KEY的位数、所支持的协议版本、AEAD(Authenticated Encryption with Associated Data)和PFS(Forward Secrecy)属性的排列组合评估安全性和对各种包括桌面和移动设备的浏览器的最低版本兼容性,比如低至Android 4.4.2、Apple ATS 9、Firefox 31.3.0 ESR这样。
在笔者看来,这个功能有两种使用场景。第一种当然就是HTTP服务本身的证书加密配置的安全性和兼容性了。而第二种就是当网站部署了WAF设备进行保护时,WAF设备对外提供HTTPS访问服务的兼容性。
尤其是在笔者经验,第二种使用场景很容易被网站的管理者忽略,导致网站的访问者会碰到莫名其妙的访问困难。
网上也有不少类似的HTTPS证书部署情况检查服务,读者可以自行搜索使用,但务必要注意这些服务的可信性。
如果发现证书加密配置有误,还可以使用Mozilla提供的配置文件生成工具:
https://ssl-config.mozilla.org/
对应自己使用的HTTPD服务器软件产生合适的证书配置。
该项需要手工点击启动。随后,MDN Observatory 尝试连接网站服务器的SSH端口(22端口),并给出安全性评估结果。比如SSH服务是否返回了包含版本信息的BANNER,是否使用了不安全的加密协议等等。
因为对SSH端口的外部扫描主要能做的只是加密协议的检查,对于实际的SSH配置来说并不足够,大量的配置参数不可能从外部实现检查。所以Mozilla已经在源码仓库声明了SSH扫描检查项目停止维护。
估计该功能在未来的2.0版本中会被移除。
这里给出的是MDN Observatory 集成的第三方扫描器进行的扫描结果。这些第三方扫描器给出的都是扫描结果的概要,并提供了属于该第三方的独立功能服务页面和完整扫描结果,可以跳转查看。
实际这个第三方工具评估的功能,我看更多地是为合作伙伴引流。
需要注意的是,在扫描网站时勾选的不向公众公开扫描结果的选项只是不把扫描过程记录到Mozilla的列表。
如果希望实现真正完全不对互联网公开结果的安全检查,又或者需要检查内网部署的WEB服务,那就需要下载 MDN Observatory 项目的代码,在内网自行部署和使用。
关于 MDN Observatory 的常见问题
https://observatory.mozilla.org/faq/
关于Web应用安全的指南
https://wiki.mozilla.org/Security/Guidelines/Web_Security
关于服务器侧TLS设置的指南
本页网址二维码: