Mozilla lanza un servicio gratuito que analiza la seguridad de las páginas web
El servicio web permite analizar el nivel de seguridad de las páginas web, con el fin de ayudar a webmasters y desarrolladores a proteger sus páginas. El análisis online permite comprobar si los servidores web cuentan con la mejor configuración posible recibiendo una puntuación.
Mozilla ha anunciado un servicio gratuito de análisis de páginas web con el que pretende ayudar a los desarrolladores y webmasters a crear páginas web más seguras. De hecho, el escáner online permite comprobar si los servidores web tienen la mejor configuración de seguridad y compararlas con las de otros lugares.
Denominado ‘observatorio’, la herramienta fue desarrollada por el ingeniero de seguridad que trabaja en la compañía April King, para ponerla posteriormente a disposición de todo el mundo. El ingeniero se ha inspirado en el SSL Server Test del laboratorio Qualys SSL, un escáner conocido entre los expertos por sacar a la luz las debilidades de las páginas en lo que se refiere a las configuraciones SSL / TLS. Al igual que el laboratorio, el observatorio de Mozilla utiliza un sistema de puntuación entre 0 y 100 con la posibilidad de obtener puntos extra que se traducen en grados de la F a la A+.
A diferencia del Test SSL Server, que sólo comprueba la implementación TLS de una página web, el observatorio de Mozilla analiza una amplia gama de mecanismos de seguridad web. Entre ellos se incluyen banderas de seguridad, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), redirecciones, integridad del código, opciones X-Frame, opciones X-Content, protección X-XSS y mucho más.
La herramienta no solo se encarga de inspeccionar sobre la presencia de estas tecnologías mencionadas, sino que también de que sean implementadas de forma correcta. Lo que la herramienta no lleva a cabo es escanear en busca de vulnerabilidades en el código, algo que ya contemplan un gran número de herramientas gratuitas y comerciales.
King destaca en su blog que mientras todas estas tecnologías se extienden por multitud de documentos, se hacía necesario aprender lo que cada una de las tecnologías hace, cómo ponerlas en práctica, y lo importante que resultan.
Por citar algunas estadísticas, de una tasa de 1,3 millones de páginas web analizadas por el observatorio, tan solo 121.984 recibieron una calificación de aprobada. Por citar algún ejemplo, incluso algunos lugares de la web de Mozilla no pasaron la prueba inicialmente, como fue el caso de addons.mozilla.org, el cual recibió la puntuación de una F. Tras solventar dichos problemas, el sitio web ahora cuenta con una calificación de A+.
Los resultados de la prueba que lleva a cabo el observatorio se presentan rápidamente en escasos segundos, en función del tipo de página. Se muestras de manera fácil con enlaces a las directrices de seguridad web planteadas por Mozilla, que tienen descripciones y ejemplos de implementación. Así los administradores pueden entender los problemas a los que se enfrentan y la prioridad por solucionar los más graves.
El observatorio de Mozilla utiliza código abierto. Una API y determinadas líneas de comando están disponibles para aquellos administradores que necesiten explorar un gran número de sitios web de forma periódica, o que simplemente deseen realizar dichas exploraciones internamente.
Servicio de noticias IDG News Services, Lucian Constantin
