홈페이지 : https://observatory.mozilla.org/

모질라 보안 엔지니어 April Knight는 SSL Labs 및 High-Tech Bridge의 분석 서비스와 유사한 Observatory라는 무료 웹사이트 보안 검사 유틸리티를 발표했습니다.

 

Observatory는 최신 보안 프로토콜을 사용하는 사이트를 구성하기를 원하는 개발자, 시스템 관리자 및 보안 전문가를 대상으로 합니다.

 

본 서비스는 파이썬 코드 기반으로 GitHub에 코드가 공개되어 있으며, 지난 몇 달간 개발되어 오다 어제 일반에 공개되었습니다. Observatory는 기본적인 보안 기능 유무를 검사하고, 0에서 130까지 점수를 매긴 다음 다시 A에서 F 등급으로 변환합니다.

 

현재 본 서비스는 아래 내용을 검사합니다 :

[1] 콘텐츠 보안 정책 Content Security Policy (CSP)

[2] 쿠키 파일의 보안 플래그 여부

[3] 교차출처 자원 공유 Cross-Origin Resource Sharing (CORS)

[4] HTTP Public Key Pinning (HPKP)

[5] HTTP Strict Transport Security (HSTS)

[6] HTTP에서 HTTPS로 자동 리다이렉트 존재 여부

[7] 하위 리소스 무결성 Subresource Integrity (SRI)

[8] X-Content-Type-Options

[9] X-Frame-Options (XFO)

[10] X-XSS-Protection

 

Knight에 따르면 130만 곳 이상의 웹사이트를 자동 검사한 결과 91% 이상이 이 테스트를 통과하지 못 했다고 합니다. 이 중에는 모질라도 포함되어 있다고 하며, 모질라가 먼저 자사의 도메인을 테스트하기 위해 Observatory를 개발했다고 밝혔습니다.

-클리앙 아름다운별님 글에서 퍼왔습니다. 자세한건 출처에 남겨놓았습니다.

- 결과로 몇개를 실시했는데, 오유, 루리웹, 클리앙, 딴지, 웃긴대학 전부 F입니다.