首页>网络安全资讯>网站安全评估工具检测到93%的网站不合格

网站安全评估工具检测到93%的网站不合格

Mozilla的安全工程师April King发现,世界上绝大多数的网站 - 高达93.45% - 并没有实施许多现代安全技术,为用户提供安全的连接,并保护他们免受跨站点的攻击脚本(CSS)和内容注入。

这些网站的评估是由Mozilla自己的Observatory工具(King设计的)进行的。 跑了11个不同的测试用以检测网站使用的安全技术,包括HTTPS、HPKP(密钥定位)、CSP(内容安全策略)和子资源完整性。 它还对使用这些技术的程度进行了评分。 那些有子参数配置的网站(如支持HTTPS而不自动重定向用户)会收到警告。

King用她的Observatory工具自动扫描Alexa(知名全球网站排名榜)的百万名单。第一次扫描是在2016年8月。为了衡量改善程度,于2016年10月和今年6月再次进行了检测。第一次扫描结果显示97.6%的站点不达标。在过去15个月中,42,000个网站提高了安全性,不再获得F级。

尽管90%的失败率令人咂舌,但测量的改进却是惊人的。事实上,鉴于许多技术都是新的技术,并且将它们集成到现有的网站上难度较大,因而看到应用程序如此迅速地增长仍是令人鼓舞的。

获得B和C级评级的站点分别增长了207%和330%。而获得A或A+的网站数量从90增加到了420。想要拿A,你需要部署Observatory工具所涉及的几乎所有技术。

Observatory在提升网站安全上起到了直接的作用。King指出,50,000个站点使用该工具进行改进,然后重新检查其等级,以确保其正确实施安全措施。

其实这个工具的分级制度没有听起来那么糟。与类似的工具相比,Observatory确实要求更高分级更严。比方说,如果一个网站被扫描出没有CSP,与此同时这又是一个非常重要但难以实施的技术,该网站评级则不会超过B+。

Observatory已被用于扫描超过155万个不同网站,并评估其使用的安全技术和协议。尽管拿F是件挺可怕的事,但是了解哪些技术在哪里以及您的网站可以从中受益的不失为一个很棒的(还免费)方式。

任何一个好的网站都不是一蹴而就的,就连像纽约时报这样的庞大媒体网站都花了两年事件去完成像HTTPS迁移的工作。

关键词:网站安全评估工具

本文来源于互联网,版权归属于原作者。本站所有转载文章言论不代表本站观点,如侵犯了原作者权利,请联系站长(3143591980#qq.com)删除。

相关资讯:

HTTPS流量检测工具或可弱化加密连接安全

美国计算机应急响应小组(US-CERT)警告:很多拦截HTTPS流量的安全产品都没有很好地验证证书。使用安全产品检测HTTPS流量的公司,可能无法避免地弱化了其...

SSL证书检查,网站安全检查

如何通过SSL证书检查网站是否存在安全隐患!浏览器内置SSL证书安全验证机制,...以 IE 浏览器为例,您可以在浏览器的“工具—internet选项—内容—证书”...

浏览器是如何检查SSL证书是否工作正常的

对于IE 浏览器,您可以浏览器的“工具” - “ Internet 选项” - “内容” ...只有通过以上第2-8步的 7个方面的检查都正常后,浏览器才会正常显示安全锁标志...

如何检查SSL证书的根证书是1024位还是2048位的

常用工具下载 沃通代码签名精灵下载 沃通SSL 精灵下载 PDF签名加密工具新闻...VeriSign/Thawte/GeoTrust的根证书都是使用1024位,所以您的SSL证书有安全风险,...

不做https有效性检查引发的安全问题

2016年3月8日 - 在https实际应用中,有部分网站、系统使用的却是自签名https证书,并且只是简单的调用,并没有做https有效性检查,这将产生严重的安全漏洞,给恶意攻击者有...