IBM FRANCE

L’application Single-page (SPA) intéresse beaucoup l’industrie logicielle car c’est un levier pour améliorer les performances des applications sur...

Lire la suite

Mozilla Observatory : un outil pour évaluer la sécurité de vos sites web

Par:
fredericmazue

mar, 30/08/2016 - 14:39

Mozilla Observatory est un outil d'abord développé en interne, dont la fondation Mozilla propose finalement une version publique.

Mozilla Observatory a été développé par l'ingénieur en sécurité April King, qui s'est inspiré de l'outil bien connu Qualys SSL Labs de la société Qualys.

Pour Mozilla, un tel outil n'est pas du luxe. Après avoir scanné avec lui 1,3 millions de sites parmi les plus fréquentés, la fondation fait le constat que seulement 120 000 sites passent son test avec succès.

Mozilla Observatory s'intéresse à la présence de HTTPS et/ou de redirections vers des pages servies en HTTPS. A côté de cela, Mozilla Observatory scrute les en-têtes HTTP que votre site échange avec lui.

Selon la présence ou non des implémentations de CSP (Content Security Policy) qui permet de restreindre l'origine du contenu, de CORS (Cross-origin resource sharing), de X-Frame-Options et autres moyens pour lutter contre le Cross Site Scripting ainsi que pour renforcer la protection des cookies, Mozilla Observatory attribue une note globale de A à F et dresse un rapport détaillé de son analyse.

Pour l'anecdote, même les sites de Mozilla, tels que addons.mozilla.org, ont été notés F lorsqu'ils ont été analysés pour la première fois par cet outil :-)

Mozilla Observatory est libre. Il suffit de vous rendre sur sa page d'accueil et d'y saisir le nom de domaine du site que vous souhaiter faire analyser.