image

Gratis tool Mozilla scant ssl-gebruik websites

vrijdag 26 augustus 2016, 10:33 door Redactie, 10 reacties

Opensource-ontwikkelaar Mozilla heeft een gratis tool ontwikkeld waarmee kan worden gecontroleerd hoe websites ssl/tls hebben geïmplementeerd. Observatory, zoals Mozilla de tool noemt, is vergelijkbaar met SSL Labs, de scandienst van beveiligingsbedrijf Qualys.

De tool van Mozilla richt zich echter meer op doorsnee gebruikers, zegt Mozilla-ontwikkelaar April King. Zodra gebruikers een website op observatory.mozilla.org hebben ingevoerd wordt de opgegeven website gescand en verschijnt er vervolgens een rapport met een cijfer. Het rapport laat onder andere zien op welke onderdelen de website een voldoende of onvoldoende scoort. Volges King kunnen webmasters op deze manier eventuele configuratiefouten snel verhelpen.

Een scan met de tool van 1,3 miljoen websites laat zien dat slechts 122.000 websites een voldoende scoorden. "Als negen van de tien websites een onvoldoende scoren is het duidelijk dat dit een probleem voor iedereen is", stelt King. Mozilla zou de tool zelf ook hebben gebruikt om de eigen websites te verbeteren. De broncode van Observatory is te vinden op GitHub.

Image

Reacties (10)
26-08-2016, 11:13 door Woopie - Bijgewerkt: 26-08-2016, 11:14
Mmm, www.security.nl scoort maar een mager C-tje overall.
https://observatory.mozilla.org/analyze.html?host=www.security.nl
Maar eigenlijk weet ik te weinig, om de totaal score te kunnen beoordelen. Iemand?

Bij ssl-labs is de score beter: A+
https://www.ssllabs.com/ssltest/analyze.html?d=www.security.nl&hideResults=on
Kan iemand mij het verschil verklaren? Test Mozilla strenger?
26-08-2016, 12:36 door Anoniem
De crypto score is nog minder met een mager F-statusje: https://tls.imirhil.fr/https/www.security.nl
i.t.t. https://cryptoreport.websecurity.symantec.com/checker/ thawte SSL CA-G2 intermediate cert. & tested cert
en een volle A hier: https://sritest.io/#report/7e1486b7-a406-43c4-bd94-c4496bdd0c32
x-xss-protectie niet volgens "best practices"
XSS-DOM kwetsbaarheden in core,js -> verb. Results from scanning URL: https://www.security.nl/js/core.js?1375741199
Number of sources found: 28
Number of sinks found: 11
Nog even de puntjes op de i zetten.
En wat werd verworven, moet ter zijner tijd ook terzijde worden gesteld. Kwetsbare bibliotheken:
https://www.security.nl
Detected libraries:
jquery - 1.7.2 : (active1) https://www.security.nl/js/jquery/jquery.securitynl.js?1375741199
Info: Severity: medium
http://bugs.jquery.com/ticket/11290
http://research.insecurelabs.org/jquery/test/
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
swfobject - 2.2 : https://www.security.nl/js/jquery/jquery.securitynl.js?1375741199
(active) - the library was also found to be active by running code
1 vulnerable library detected
26-08-2016, 12:43 door Anoniem
Calomel SSL Validation addon geeft security.nl een score van 100%, dus dan ben ik benieuwd wat je dan nog meer moet doen om by het observatory beter te scoren.
26-08-2016, 13:08 door Anoniem
SSL Labs test alleen de TLS configuratie van de server. De scanner van Mozilla kijkt ook naar de configuratie van web servers door te kijken of er maatregelen zijn genomen voor de beveiliging van webapplicaties (secure cookies en Content Security Policy bijvoorbeeld)
26-08-2016, 14:04 door Anoniem
Host attribute niet ingesteld voor __cfduid cookie from Cloudflare, een tracking cookie die Cloudflare vertelt wie trusted is en wie niet. Dat zijn keuzes die jij niet maakt maar derde partij CloudFlare.
http://webmasters.stackexchange.com/questions/59226/disable-cfduid-cookie-from-cloudflare

Was het allemaal maar zo eenvoudig als een Calomel A-Status.
26-08-2016, 14:44 door Anoniem
Bedankt voor de tip:

A+

Test Time: August 26, 2016 2:42 PM
Test Duration: 11 seconds

Score: 105/100 <==== 105 out of 100 ..... ;)
Tests Passed: 10/10
26-08-2016, 22:22 door Anoniem
https://observatory.mozilla.org/analyze.html?host=www.security.nl

Content Security Policy -25 Content Security Policy (CSP) header not implemented

'Grappig' : security.nl ontvankelijk voor cross site scripting injecties?

Was net in het nieuws
ABNAMRO, Troidis en SNS hadden er ook last van, ratteketat extra inlogveldje erbij op de site, geen (CSP) header geimplementeerd.
https://tweakers.net/nieuws/115029/onderzoeker-vindt-opnieuw-xss-kwetsbaarheden-bij-drie-nederlandse-banken.html

Is dat te moeilijk? Of zit scrutiny.nl versie 3.0 er niet meer in?
26-08-2016, 23:21 door Anoniem
@Anoniem van 22:22

Leuke reactie op dit platform, en dank daarvoor.

Dat is het beoogde doel van elke hacker, software door beveiligingsgaten iets laten doen, waarop niet beveiligd is of waarop niet is geanticipeerd. Bijvoorbeeld eerst een account beëindigen om daarna een illegale log-on te kunnen doen.Veel gebruikt door bepaalde defacers als de configuratie dit toelaat tenminste.

Met het implementeren van security headers gaat het nogal eens mis:
https://securityheaders.io/?q=https%3A%2F%2Fwww.security.nl%2F&followRedirects=on

D-Status: en wat je o.a. al aangaf: Missing Headers
Content-Security-Policy Content Security Policy is an effective measure to protect your site from XSS attacks. By whitelisting sources of approved content, you can prevent the browser from loading malicious assets.
Public-Key-Pins HTTP Public Key Pinning protects your site from MiTM attacks using rogue X.509 certificates. By whitelisting only the identities that the browser should trust, your users are protected in the event a certificate authority is compromised.
X-XSS-Protection X-XSS-Protection sets the configuration for the cross-site scripting filter built into most browsers. Recommended value "X-XSS-Protection: 1; mode=block".
X-Content-Type-Options X-Content-Type-Options stops a browser from trying to MIME-sniff the content type and forces it to stick with the declared content-type. The only valid value for this header is "X-Content-Type-Options: nosniff".

Ga je dit als standaard voor veiligheid (best policy) aannemen, kan je het halve internet wel als onveilig afschrijven inmiddels.Er is kennelijk nog wat beveiligingsbesef bij te brengen. Succes.
26-08-2016, 23:57 door Anoniem
Tweakers leuke site is dat, zo de waard is, vertrouwt hij zijn gasten.

Als Hollander op een vakantie-dongle inbelpunt krijg ik deze discriminerende mededeling voorgeschoteld.
Zitten we niet meer in de EU?

Beste bezoeker,

Tweakers beperkt de functionaliteit van de site voor bepaalde landen om zo de spam, oplichting en misbruik te beperken.

Jouw IP-adres (inbel ip adres) is herleid tot landcode PL en dat land valt onder deze beperking. Jouw IP-adres is daardoor uitgesloten van het plaatsen van reacties op Tweakers. Lees voor meer informatie ook deze uitleg.

Als je inlogt kunnen we bepalen of dit ook daadwerkelijk voor jouw account geldt.

In veel gevallen kunnen we persoonlijke uitzonderingen maken, stuur daarvoor een mail naar frontpage@tweakers.net. Vermeld in die mail je gebruikersnaam en IP-adres.
27-08-2016, 14:18 door Anoniem
Door Anoniem: Tweakers leuke site is dat, zo de waard is, vertrouwt hij zijn gasten.

Als Hollander op een vakantie-dongle inbelpunt krijg ik deze discriminerende mededeling voorgeschoteld.
Zitten we niet meer in de EU?
<snip>
[

Wat heeft dit met de Mozilla tool te maken en waarom maak je je druk om het feit dat je op vakantie (!!!) tweakers niet kan bereiken?
1e wereld problematiek...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.