En gestation depuis des mois, le service Observatory de Mozilla est rendu public. Le service permet de tester gratuitement la sécurité de sites Web. Il s’adresse à tous les internautes, mais il cible avant tout les développeurs, qui peuvent contribuer au projet sur GitHub , et les administrateurs systèmes.
Pour établir un diagnostic, Observatory scanne le site à la recherche de mécanismes et protocoles de sécurité. Parmi lesquels : CSP (Content security policy), CORS (Cross-origin resource sharing), HPKP (HTTP public key pinning), HSTS (HTTP strict transport security), XFO (X-frame-options) ou encore la présence d’une redirection automatique de HTTP vers HTTPS.
Le service de Mozilla attribue ensuite une note de 0 à 100 ou plus (plus la note est élevée, mieux le site est protégé, en théorie). Puis, il la convertit en une note globale de A (très bon) à F (médiocre). Les sites testés peuvent faire l’objet d’un classement public, pour ceux qui le souhaitent.
D’après April King, ingénieure en sécurité chez Mozilla, Observatory a déjà testé 1,3 million de sites web. Et 91 % d’entre eux échouent au test, parmi lesquels « quelques-uns des sites les plus populaires dans le monde ».
« Quand 9 sites sur 10 ont une mauvaise note, il est clair que c’est un problème pour tout le monde… Y compris Mozilla – parmi nos milliers de sites, une grande partie ne passe pas le test. Et nous travaillons dur pour y remédier », a expliqué King dans un billet de blog. En fait, Observatory a déjà servi pour améliorer plusieurs sites de l’éditeur, dont addons.mozilla.org, bugzilla.mozilla.org et mozillians.org.
Mozilla Observatory vient rejoindre la liste des services gratuits de test de sécurité des sites web, parmi lesquels Qualys SSL Labs et Sucuri SiteCheck.
Lire aussi :
Une faille de sécurité dans TCP permet de pirater la plupart des sites Web
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…