Mozilla lança serviço gratuito que faz varredura de segurança em sites

image_pdfimage_print

Chamada de Observatory, ferramenta realiza buscas por um grande número de mecanismos de segurança.

Para ajudar os webmasters a protegerem melhor seus sites e usuários, a Mozilla criou um scanner on-line que pode verificar se os servidores web estão com as melhores configurações de segurança no local.

Chamada de Observatory, a ferramenta foi criada inicialmente para uso interno pela engenheira de segurança da Mozilla, April King, que então foi encorajada para ampliar e tornar o recurso disponível para o público geral.

Ela se inspirou no SSL Server Test, da Qualy’s SSL Labs, um scanner muito apreciado que classifica a configuração SSL/TLS de um site e destaca potenciais fraquezas. Assim como o scanner da Qualy’s, o Observatory usa um sistema de pontuação de 0 até 100 – com a possibilidade de pontos extras – que se traduz em notas de F até A+.

Mas, ao contrário do SSL Server Test, que verifica apenas a implementação TLS de um site, a ferramenta da Mozilla faz uma busca por uma grande variedade de mecanismos de segurança. Essa lista inclui bandeiras de seguranças de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), X-XSS-Protection, e outros.

No entanto, o Observatory não apenas verifica a presença dessas tecnologias, mas também se foram implementadas corretamente.

Vale destacar que o que a ferramenta da Mozilla não faz é escanear o site por vulnerabilidades no código, algo que já existe em uma grande variedade de ferramentas e apps gratuitos e pagos.

Em alguns aspectos, alcançar uma configuração segura de site – usando todas as tecnologias disponíveis desenvolvidas recentemente por empresas de navegadores – é ainda mais difícil do que encontrar e solucionar vulnerabilidades de código.

“Essas tecnologias estão espalhadas em dezenas de documentos padrão, e apesar de artigos individuais poderem falar delas, não havia um lugar para os operadoras de site acessarem para aprenderem sobre o que cada tecnologia faz, como implementá-la, e como são importantes”, afirmou King.

Os resultados dos testes do Observatory são apresentados de uma maneira amigável ao usuário que se conecta com as diretrizes de segurança web da Mozilla, que possuem descrições e exemplos de implementação. Isso permote que os administradores do site entendam mais facilmente os problemas detectados durante a varredura e os priorize.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!