모질라 보안 엔지니어 April Knight는 SSL Labs 및 High-Tech Bridge의 분석 서비스와 유사한 Observatory라는 무료 웹사이트 보안 검사 유틸리티를 발표했습니다.
Observatory는 최신 보안 프로토콜을 사용하는 사이트를 구성하기를 원하는 개발자, 시스템 관리자 및 보안 전문가를 대상으로 합니다.
본 서비스는 파이썬 코드 기반으로 GitHub에 코드가 공개되어 있으며, 지난 몇 달간 개발되어 오다 어제 일반에 공개되었습니다. Observatory는 기본적인 보안 기능 유무를 검사하고, 0에서 130까지 점수를 매긴 다음 다시 A에서 F 등급으로 변환합니다.
현재 본 서비스는 아래 내용을 검사합니다 :
[1] 콘텐츠 보안 정책 Content Security Policy (CSP)
[2] 쿠키 파일의 보안 플래그 여부
[3] 교차출처 자원 공유 Cross-Origin Resource Sharing (CORS)
[4] HTTP Public Key Pinning (HPKP)
[5] HTTP Strict Transport Security (HSTS)
[6] HTTP에서 HTTPS로 자동 리다이렉트 존재 여부
[7] 하위 리소스 무결성 Subresource Integrity (SRI)
[8] X-Content-Type-Options
[9] X-Frame-Options (XFO)
[10] X-XSS-Protection
Knight에 따르면 130만 곳 이상의 웹사이트를 자동 검사한 결과 91% 이상이 이 테스트를 통과하지 못 했다고 합니다. 이 중에는 모질라도 포함되어 있다고 하며, 모질라가 먼저 자사의 도메인을 테스트하기 위해 Observatory를 개발했다고 밝혔습니다.
* 출처 : Softpedia 요약
'Security_News > 해외보안소식' 카테고리의 다른 글
| 美 T-Mobile, 안드로이드 7.0 누가 업데이트를 받는 삼성 스마트폰 목록 공지 (0) | 2016.08.28 |
|---|---|
| 오페라 동기화 서버 데이터 유출 사고 발생 (0) | 2016.08.27 |
| NSA, 수년간 시스코 PIX 장비에 접근 (0) | 2016.08.25 |
| 의료기관 절반이상이 환자데이터 평문으로 전송 (0) | 2016.08.25 |
| 의류회사 POS시스템, 악성코드 감염 소식 (0) | 2016.08.25 |