Llegamos a ustedes gracias a:



Noticias

Mozilla lanza servicio gratuito de escaneo de seguridad de sitios web

[06/09/2016] Para ayudar a los webmasters a proteger mejor a sus sitios web y a los usuarios, Mozilla ha creado un escáner en línea que puede revisar si los servidores web tienen la mejor configuración de seguridad posible.

De nombre Observatory, la herramienta fue construida inicialmente para uso interno por parte de la ingeniera de seguridad de Mozilla, April King, que entonces se encontraba animada a ampliarla y ponerla a disposición de todo el mundo.

Ella se inspiró en el SSL Server Test del SSL Labs de Qualys, un escáner muy apreciado que califica la configuración SSL/TLS de un sitio web y pone de relieve las debilidades potenciales. Al igual que el escáner de Qualys, Observatory utiliza un sistema de puntuación de 0 a 100 -con posibilidad de puntos extra- que se traduce en notas de la F a la A+.

A diferencia del SSL Server Test, que solo analiza la implementación de TLS de un sitio web, los escaneos del Observatory de Mozilla busca una amplia gama de mecanismos de seguridad web. Ésos incluyen marcas de seguridad de cookies, Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), HTTP Public Key Pinning, HTTP Strict Transport Security (HSTS), redirecciones, integridad de los subrecursos, X-Frame-Options, X-Content-Type-Options y X-XSS-Protection y más.

La herramienta no solo revisa la presencia de estas tecnologías, sino que también si éstas están implementadas correctamente. Lo que la herramienta no hace es escanear en busca de vulnerabilidades en el código real del sitio web, algo que ya existe en un gran número de herramientas gratuitas y comerciales.

En algunos aspectos, lograr una configuración segura para el sitio web- utilizando todas las tecnologías disponibles desarrolladas en los últimos años por los fabricantes de navegadores- es incluso más difícil de encontrar y parchar las vulnerabilidades del código.

"Estas tecnologías se extienden sobre docenas de documentos estándar, y aunque los artículos individuales pueden hablar sobre ellos, no había un lugar para que los operadores de los sitios vayan a aprender lo que cada una de las tecnologías hace, cómo aplicarlas y cuán importantes eran, afirmó King en una entrada de blog.

Esta dificultad para encontrar recursos fáciles de entender acerca de estas características de seguridad para sitios web ha contribuido a su baja tasa de adopción, lo cual se refleja en una exploración de 1,3 millones de sitios web realizados con Observatory. Solo 121.984 recibieron una calificación aprobatoria.

Algunos de los propios sitios web de Mozilla se encontraban entre los que no pasaron la prueba. Por ejemplo, cuando se escaneó por primera vez con Observatory, addons.mozilla.org, uno de los sitios web más importantes de la organización, recibió una F. Desde entonces los problemas ya se han solucionado y el sitio web está ahora clasificado con A+.

Los resultados de las pruebas de Observatory se presentan de una manera amigable para el usuario con enlaces a las directrices de seguridad web de Mozilla, que tienen descripciones y ejemplos de implementación. Esto permite a los administradores de sitios web entender más fácilmente los problemas detectados durante el análisis y dar prioridad a ellos.

"Por supuesto, los resultados de Observatory pueden no ser muy exactos para su sitio - después de todo, las necesidades de seguridad de un sitio como GitHub son mucho más complicadas que los de un blog personal, afirmó King. "Al alentar la adopción de estos estándares, incluso para los sitios de bajo riesgo, esperamos que los desarrolladores, administradores de sistemas y profesionales de la seguridad de todo el mundo se sientan cómodos y familiarizados con ellos.

El código detrás de Observatory es código abierto. Para los administradores que necesitan explorar un gran número de sitios web de forma periódica o que deseen realizar dichas exploraciones internamente se tienen disponibles una API y herramientas de línea de comando.

Lucian Constantin, IDG News Service