Conoce el proyecto Observatory de Mozilla, el test definitivo para comprobar la seguridad de una web
Mozilla ha lanzado una herramienta online que nos permitirá conocer si una determinada página web es segura. Esta herramienta Observatory de Mozilla no solo permite a los usuarios si el servidor web de un portal está bien configurado, sino también a los desarrolladores, administradores de sistema y a los profesionales de la seguridad.
Cuando vamos a escanear una web en la herramienta Observatory de Mozilla, tendremos la opción de no incluir el sitio web en los resultados públicos de escaneos, de esta forma, pasaremos desapercibidos. Otra opción que tenemos es forzar un reescaneo de páginas web que ya hemos analizado anteriormente, ideal por si hemos realizado un cambio en la configuración del servidor y no tener que esperar hasta que caduque ese resultado.
Por último, Observatory de Mozilla incorpora otras herramientas de terceros para escanear nuestra web, como por ejemplo, el escáner de SSLlabs para comprobar la seguridad TLS de nuestro sitio web. Realizar el escaneo con estos softwares de terceros es opcional, si no queremos hacerlo podremos pinchar en «Don’t scan with third-party scanners».
En la siguiente imagen podéis ver la pantalla principal de la herramienta Observatory de Mozilla:
Si por ejemplo escaneamos el dominio Google.es, nos indicará el grado de seguridad y configuración de sus servidores, desde la A+ máxima seguridad, hasta la F seguridad deficiente. Tal y como podéis ver en la parte inferior, tenemos una puntuación de 35 sobre 100 puntos, en la zona de «Test Scores» tenemos dónde falla la configuración del servidor de Google, como por ejemplo no incorporar la cabecera CSP y no usar las cookies con el flag de «secure» para que viajen por HTTPS.
Respecto a los resultados de los escáneres de terceros, podemos ver que SSLlabs les proporciona una A por lo que a nivel de TLS está bastante bien configurado, lo mismo ocurre con la herramienta htbridge.com.
Sin embargo, hay otras herramientas como tls.imirhil.fr que le da una valoración de F, si accedéis directamente a la URL de este escáner de terceros veréis explicado en detalle por qué han decidido otorgarle esta valoración. La herramienta securityheaders.io también ha verificado que las cabeceras de Google no se transmiten por Internet de manera segura, y le ha otorgado una puntuación de E.
Respecto al protocolo HSTS, una herramienta que permite verificarlo es hstspreload.appspot.com y en nuestro caso no se encuentra precargado en el navegador.
Tal y como habéis podido ver, esta herramienta Observatory de Mozilla es un todo en uno que nos permitirá configurar adecuadamente el servidor web de nuestro hogar u empresa, ideal para proporcionar a nuestros visitantes una navegación segura. Os recomendamos acceder al FAQ de Observatory by Mozilla donde encontraréis las respuestas a las principales preguntas.