ニュース

ウェブサイトのセキュリティを自動判定する「Observatory by Mozilla」

 Mozillaは、ウェブサイトのセキュリティを自動判定して評価を行うウェブサイト「Observatory by Mozilla」を公開した。

 Observatory by Mozillaは、3月からGithubで公開されているオープンソースの開発者向けツール「HTTP Observatory API」を利用しやすくしたウェブサイト。開発者やシステム管理者向けの支援ツールとして位置付けられている。

 ドメイン名を入力すると、ウェブサイト側からウェブブラウザーに対して、HTTPではなくHTTPSで接続してくるよう指示する仕組みである「HTTP Strict Transport Security(HSTS)」といった最新のウェブセキュリティ機能がウェブサイトに実装されているかどうか、以下の10項目についてのテストが行われる。それぞれの項目については「Mozilla Wiki」内の「Webセキュリティガイドライン」で解説されている。

  • Content Security Policy
  • Cookies
  • Cross-origin Resource Sharing
  • HTTP Public Key Pinning
  • HTTP Strict Transport Security
  • Redirection
  • Subresource Integrity
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

 最大スコアは130となっており、スコアは100以上から25までを表す「A+」~「D-」までの12段階と、それ以下の「F」で表される。

 このほか、「hstspreload.appspot.com」「securityheaders.io」「tls.imirhil.fr」といったサードパーティから提供されているウェブサイトでのスキャン結果も合わせて表示される。