Mozilla出了个网站安全评估工具 93%的网站居然都不合格

Mozilla的安全工程师April King发现，世界上绝大多数的网站 - 高达93.45％ - 并没有实施许多现代安全技术，为用户提供安全的连接，并保护他们免受跨站点的攻击脚本（CSS）和内容注入。

这些网站的评估是由Mozilla自己的Observatory工具（King设计的）进行的。 跑了11个不同的测试用以检测网站使用的安全技术，包括HTTPS、HPKP（密钥定位）、CSP（内容安全策略）和子资源完整性。 它还对使用这些技术的程度进行了评分。 那些有子参数配置的网站（如支持HTTPS而不自动重定向用户）会收到警告。

King用她的Observatory工具自动扫描Alexa（知名全球网站排名榜）的百万名单。第一次扫描是在2016年8月。为了衡量改善程度，于2016年10月和今年6月再次进行了检测。第一次扫描结果显示97.6%的站点不达标。在过去15个月中，42,000个网站提高了安全性，不再获得F级。

尽管90％的失败率令人咂舌，但测量的改进却是惊人的。事实上，鉴于许多技术都是新的技术，并且将它们集成到现有的网站上难度较大，因而看到应用程序如此迅速地增长仍是令人鼓舞的。

获得B和C级评级的站点分别增长了207％和330％。而获得A或A+的网站数量从90增加到了420。想要拿A，你需要部署Observatory工具所涉及的几乎所有技术。

Observatory在提升网站安全上起到了直接的作用。King指出，50,000个站点使用该工具进行改进，然后重新检查其等级，以确保其正确实施安全措施。

其实这个工具的分级制度没有听起来那么糟。与类似的工具相比，Observatory确实要求更高分级更严。比方说，如果一个网站被扫描出没有CSP，与此同时这又是一个非常重要但难以实施的技术，该网站评级则不会超过B+。

Observatory已被用于扫描超过155万个不同网站，并评估其使用的安全技术和协议。尽管拿F是件挺可怕的事，但是了解哪些技术在哪里以及您的网站可以从中受益的不失为一个很棒的（还免费）方式。

任何一个好的网站都不是一蹴而就的，就连像纽约时报这样的庞大媒体网站都花了两年事件去完成像HTTPS迁移的工作。因而你要做的只是一个扫描，看看自个儿网站的进步空间有多大呗！