Mozilla bietet kostenlosen Sicherheitstest für Websites an

Mozilla hat ein Tool entwickelt, um die Sicherheit von Websites zu überprüfen. Eigentlich wurde Observatory geschaffen, um Mozillas eigene Onlinepräsenz zu überprüfen. Die Autorin April King hat dabei festgestellt, dass diese Websites nicht besonders sicher sind. Seitdem wird kontinuierlich bei Mozilla daran gearbeitet, die Websites zu verbessern.

Damit nicht nur Besucher der Mozilla-Websites sondern alle etwas davon haben, ist das Tool jetzt auf observatory.mozilla.org kostenlos verfügbar. Überprüft werden HTTPS (Redirections, HSTS, HTTP Public Key Pinning), Cross-Origin Resource Sharing (CORS), Content Security Policy (CSP), X-Frame-Optionen, X-Content-Type-Optionen und X-XSS-Protection. Nicht getestet wird die Anfälligkeit für Attacken mittels SQL-Injection.

Schulnoten

Der Test liefert für die Website ein Gesamtergebnis auf Basis des amerikanischen Schulnotensystems. A+ ist das beste Ergebnis, F das schlechteste. Die Berechnung des Ratings erfolgt indem bei 100 Punkten gestartet wird. Der Verzicht auf Verschlüsselung- und Sicherheitstechnologien gibt Punkteabzüge. Sind bestimmte Technologien vorbildlich eingebaut, gibt es Bonuspunkte.

Hohe Abzüge gibt es etwa für den Verzicht auf HTTPS und HSTS. Für King sei es frustrierend, wie wenig Websites im Internet HTTPS nutzen. Mit dem Test soll Webmastern bewusst gemacht werden, welche Sicherheitstechnologien sinnvoll wären.

Facebook.com bekommt eine B, Google.at erhält laut dem Test eine D-. Amazon.at und futurezone.at sind mit einer F glatt durchgefallen. Mozilla.org hat ein D+ und addons.mozilla.org, das aufgrund der Ergebnisse des Tests optimiert wurde, eine A+.

Für Entwickler und Webmaster, die eine große Anzahl an Websites betreuen, hat Mozilla auch die API und ein Kommandozeilen-Tool von Observatory veröffentlicht.