Na konci února publikovala April King na bezpečnostním blogu Mozilly porovnání, jak se za přibližně rok a půl změnilo využití bezpečnostních technik a hlaviček milionu nejvýše hodnocených stránek podle Alexa ranku. Měření provedla hned několikrát, počínaje spuštěním služby Mozilla Observatory v červnu 2016, o rok později a nakonec letos v únoru.
Mozilla Observatory je nástroj, který na jednom místě otestuje bezpečnostní techniky jako Content Security Policy (CSP), HTTP Strict Transport Security (HSTS) nebo Subresource Integrity (SRI). Jejich použití sice samo o sobě nevypovídá, jak je web skutečně zabezpečený, ale naznačuje alespoň nějakou snahu. Kromě vlastního testu zobrazuje Mozilla Observatory výsledky dalších testů jako jsou securityheaders.io, testy Qualys SSL Labs a další.
A jaké jsou výsledky? V první řadě se zvedl počet webů používajících HTTPS, už je jich skoro 55 %. Zajímavé je, že od prvního testu se 100 tisíc stránek rozhodlo používat HTTPS ve výchozím stavu a 16 tisíc dokonce už přes nešifrované HTTP nekomunikuje vůbec.
Procentuálně je největší skok v používání SRI, které brání proti podstrčení pozměněných skriptů třetích stran. Oproti prvnímu měření poskočilo jeho využití na více než desetinásobek, bohužel stále to dohromady není ani pětina procenta. Naopak dlouhodobě je na tom dobře ochrana pomocí CORS (skoro 97 %), XFO (vkládání rámů; 12,5 %) a XCTO (ochrana proti nechtěné změně typu souboru; 11,7 %).
I když je vidět růst v používání těchto technik, je v absolutních číslech pořád malý a velká většina webů CSP, HSTS ani SRI nepoužívá. Přes 90 % z měřeného milionu webů pořád dostává od Mozilla Observatory nejhorší možnou známku F. Při spuštění Mozilla Observatory to ale bylo dokonce 97,6 %! Počet webů se známkou B nebo lepší se zvedl z 0,21 % na asi 1,1 %. Podrobnější výsledky najdete zde.
A co vy? Spravujete či provozujete nějaký web? Vyzkoušejte Mozilla Observatory a dejte nám vědět, jestli je to pro vás užitečný nástroj.
(Zdroje: blog.mozilla.org, pokeinthe.io)