SpamLoco


Observatory by Mozilla una herramienta que te ayuda a mejorar la seguridad de tu web

Observatory by Mozilla es un escáner online creado para ayudar a los desarrolladores y webmasters a crear sitios más seguros. Simplemente ingresando la dirección de una web comenzará a realizar diferentes test, mostrando además los resultados de otras herramientas reconocidas que analizan los certificados SSL y headers HTTP.

Algo muy bueno es que marca de forma muy clara los errores que detecta y puntos que se podrían mejorar. Para cada uno de ellos además incluye un enlace a la wiki de Mozilla donde se pueden encontrar más detalles y consejos.

El siguiente es un resultado de ejemplo para un Banco que opera en mi país:

observatory by mozilla resultado

El resultado como se puede ver no es muy bueno, obteniendo una de las calificaciones más bajas y fallando en puntos que podrían ser considerados como críticos para la web de una entidad financiera. Para otros bancos la situación era similar :S

Por ejemplo, no implementan una política de HSTS (HTTP Strict Transport Security) ni de HPKP (HTTP Public Key Pinning), si bien el sitio cifra las comunicaciones entre sus servidores y los navegadores de los usuarios por medio del HTTPs, al no implementar estas políticas que refuerzan la seguridad un atacante podría fácilmente realizar un man in the middle y suplantar el certificado SSL dejando al HTTPs inservible.

En otras palabras, en una wifi compartida como la de un hotel, aeropuerto o café te pueden interceptar el tráfico de la red para montar una web falsa (phishing) bajo el mismo dominio del banco falsificando el candadito verde del HTTPs sin que te des cuenta.

También te lo pueden hacer en tu propia casa si no tienes la wifi segura, para los interesados en el tema, les recomiendo darle una leída a este artículo escrito por @pablogonzalezpe en el blog de Chema.

Observatory by Mozilla también muestra resultados de https://www.ssllabs.com/ssltest/, https://www.htbridge.com/ssl/ y https://tls.imirhil.fr que analizan los certificados TLS/SSL. También de https://securityheaders.io, una excelente tool que analiza las respuestas de las cabeceras HTTP y https://hstspreload.appspot.com que permite formar parte de la lista de precarga o preloading HSTS de los principales navegadores web.


1 estrella2 estrellas3 estrellas4 estrellas5 estrellas Valoraciones: 1 (5,00 en promedio de 5 estrellas)
Publicado por el Archivado en: Herramientas online, Seguridad

Comentar con Facebook


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Suscripción al blog

Feed

Recibe los nuevos artículos del blog en tu correo suscribiéndote gratis:

Redes Sociales

facebook twitter spamloco-youtube google-plus-spamloco

Sobre SpamLoco

Este es un blog dedicado al mundo de la tecnología, internet y la seguridad informática. No te confundas con el nombre, sólo es un juego de palabras, no tiene nada que ver como el ''spam'' sino todo lo contrario.

Si necesitas ayuda puedes pasar por el Foro o contactarme.