طراحی یک ابزار نظارتی توسط شرکت موزیلا برای بررسی وضعیت امنیتی وب‌گاه‌ها

آپریل کینگ، یکی از مهندسان امنیتی شرکت موزیلا اقدام به طراحی یک ابزار نظارتی کرده است. این ابزار نظارتی که رایگان است، برای بررسی امنیت وبگاه‌ها مورد استفاده قرار می‌گیرد. این مهندس امنیتی در یک پست در این خصوص بیان کرد: «ابزار نظارتی یک ابزار ساده است که به سازندگان وبگاه‌ها این امکان را می‌دهد که به سرعت وبگاه‌های خود را مورد ارزیابی قرار دهند و همچنین در مورد نحوه استفاده کاربران از وبگاه خود اطلاعاتی را کسب کنند. این ابزار از یک سامانه درجه‌بندی استفاده می‌کند و از این طریق یک بازخورد لحظه‌ای از بخش‌های بهبودیافته سامانه ارائه می‌دهد. این ابزار از طرف دیگر برای طراحان و مدیران وبگاه‌ها مناسب است و به آن‌ها نشانی‌های اینترنتی را می‌دهد که می‌توانند با استفاده از آن‌ها، در مورد نحوه کار فناوری‌های موجود اطلاعاتی را جمع‌آوری کنند.»

شرکت موزیلا نیز پس از طراحی این ابزار، کد منبع آن را در سامانه گیت‌هاب قرار داد.

این ابزار نظارتی آزمایش‌های زیر را روی وبگاه‌ها انجام می‌دهد:

•سیاست امنیت محتوا

•کوکی‌ها

•اشتراک‌گذاری منابع چندمنبعی

•رمزنگاری کلید عمومی HTTP

•امنیت انتقال شدید HTTP

•بازراهنمایی

•یکپارچگی زیرمنابع

•زنجیره‌های X-محتوا-نوع-گزینه

•زنجیره‌های X چارچوب-گزینه

•محافظت از حملات تزریق اسکریپت از طریق وبگاه

ابزار نظارتی پس از بررسی این بخش‌ها، یک مقدار را برحسب سطح اجرا و استفاده از این بخش‌ها محاسبه می‌کند و همچنین پیشنهادهایی را برای بهبود امنیت کلی وبگاه‌ها اعلام می‌کند.

شرکت موزیلا با استفاده از این ابزار، ۱.۳ میلیون وبگاه را موردبررسی قرار داد. ۹۱ درصد از این مقدار در آزمایش‌ها رد شدند. آمار کلی این آزمایش‌ها به شرح زیر است:

وبگاه‌های قابل‌قبول ۱۲۱۹۸۴

وبگاه‌های رد شده ۱۲۱۲۸۲۶

تعداد کل وبگاه‌ها ۱۳۳۴۸۱۰

کینگ در توضیح در خصوص این آمار گفت: «با توجه به اینکه از هر ۱۰ وبگاه، ۹ وبگاه در این آزمایش‌ها رد شده‌اند، می‌توان گفت که بسیاری از وبگاه‌ها مشکلات امنیتی دارند. ابزار نظارتی در حال حاضر به عنوان ابزار طراح‌محور شناخته می‌شود و روش درجه‌بندی آن برای بسیاری از فعالیت‌های انجام‌شده در حوزه امنیت وب مناسب است. هنگامی که یک وبگاه در این آزمایش‌ها رد می‌شود، پیشنهادهایی برای این منظور به طراحان وبگاه‌ها اعلام می‌شود و اجرای این پیشنهادها باعث می‌شود که وبگاه‌ها به سطح قابل قبولی از امنیت برسند.»

نکته دیگر که از آزمایش‌ها مشخص شد، این است که ۳۰ درصد از وبگاه‌ها برای برقراری امنیت از پروتکل‌های HTTPS استفاده کرده‌اند و ۷ درصد نیز از دیگر ابزارهای امنیتی استفاده کرده‌اند.

کینگ در بخش پایانی پست خود در مورد ابزار نظارتی بیان کرد که ممکن است نتایج به‌دست‌آمده از این آزمایش‌ها برای همه وبگاه‌ها دقیق نباشد. دلیل این امر این است که هر وبگاه نیازهای امنیتی خاص خود را دارد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.