Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

webdev:mozilla-observatory [2019/04/09 16:11] (aktuell)
haiko angelegt
Zeile 1: Zeile 1:
 +====== Observatory von Mozilla ======
  
 +Mit diesem Toolset kann man (s)eine Webseite analysieren,​ ob sie Methoden zu Absicherung - wie sie moderne Browser bereitstellen,​ beispielsweise den CSP Header etc, implementieren:​
 +
 +https://​observatory.mozilla.org/​
 +
 +Man möchte vielleicht nicht die Ergebnisse öffentlich teilen, die der Scanner liefert. Dazu bietet es sich auf der Startseite an, ein Häkchen zu setzen damit das nicht geschieht. Scannen kann man direkt über die o.g. Seite oder den Prozess über den [[https://​github.com/​mozilla/​observatory-cli|CLI Clienten]] anstossen. Letzteres bedient sich auch der öffentlichen API.
 +
 +Das Projekt kann aber auch lokal genutzt werden, was dann auch ermöglicht,​ den Prozess ins CI zu integrieren oder einfach nur seine Projekte im lokalem Netz zu analysieren. Mehr dazu: https://​github.com/​mozilla/​http-observatory
 +
 +Den lokalen Scanner habe ich in ein Image verfrachtet und findet sich hier: 
 +
 +https://​hub.docker.com/​r/​datenfahrt/​httpobs-local-scan
 +
 +Das Image ist in zwei Varianten erhältich: amd64 und aarch64. Ein Beispiel:
 +
 +Hier wird eine Seite in meinem lokalen Netzwerk gescannt:
 +
 +<​code>​
 +$ docker run --rm -it datenfahrt/​httpobs-local-scan:​aarch64 schlechtabgesichert.docker.lan --format report
 +
 +Score: 45 [C-]
 +Modifiers:
 +  Content Security Policy ​       [-20]  Content Security Policy (CSP) implemented unsafely. This includes '​unsafe-inline'​ or data: inside script-src, overly broad sources such as https: inside object-src or script-src, or not restricting the sources for object-src or script-src.
 +  Contribute ​                    ​[ ​ 0]  Contribute.json isn't required on websites that don't belong to Mozilla
 +  Cookies ​                       [  0]  All cookies use the Secure flag and all session cookies use the HttpOnly flag
 +  Cross Origin Resource Sharing ​ [  0]  Content is not visible via cross-origin resource sharing (CORS) files or headers
 +  Public Key Pinning ​            ​[ ​ 0]  HTTP Public Key Pinning (HPKP) header cannot be set, as site contains an invalid certificate chain
 +  Redirection ​                   [-20]  Redirects, but final destination is not an HTTPS URL
 +  Referrer Policy ​               [ +5]  Referrer-Policy header set to "​no-referrer",​ "​same-origin",​ "​strict-origin"​ or "​strict-origin-when-cross-origin"​
 +  Strict Transport Security ​     [-20]  HTTP Strict Transport Security (HSTS) header cannot be set, as site contains an invalid certificate chain
 +  Subresource Integrity ​         [  0]  Subresource Integrity (SRI) not implemented,​ but all scripts are loaded from a similar origin
 +  X Content Type Options ​        ​[ ​ 0]  X-Content-Type-Options header set to "​nosniff"​
 +  X Frame Options ​               [  0]  X-Frame-Options (XFO) header set to SAMEORIGIN or DENY
 +  X Xss Protection ​              ​[ ​ 0]  X-XSS-Protection header set to "1; mode=block"​
 +
 +</​code>​
 +
 +Folgende Argumente sind verfügbar
 +
 +<​code>​
 +usage: httpobs-local-scan [-h] [--http-port HTTP_PORT]
 +                          [--https-port HTTPS_PORT] [--path PATH]
 +                          [--no-verify] [--cookies COOKIES]
 +                          [--headers HEADERS] [--format FORMAT]
 +                          hostname
 +
 +positional arguments:
 +  hostname ​             host to scan (hostname only, no protocol or port)
 +
 +optional arguments:
 +  -h, --help ​           show this help message and exit
 +  --http-port HTTP_PORT
 +                        port to use for the HTTP scan (instead of 80)
 +  --https-port HTTPS_PORT
 +                        port to use for the HTTPS scan (instead of 443)
 +  --path PATH           path to scan, instead of /
 +  --no-verify ​          ​disable certificate verification in the HSTS/HPKP
 +                        tests
 +  --cookies COOKIES ​    ​cookies to send in scan (json formatted)
 +  --headers HEADERS ​    ​headers to send in scan (json formatted)
 +  --format FORMAT ​      ​output format (json or report), default of json
 +</​code>​
 +
 +{{tag>​mozilla webdev security header observatory csp python docker}}
  • webdev/mozilla-observatory.txt
  • Zuletzt geändert: 2019/04/09 16:11
  • von haiko