La mayoría de los sitios fallan en la exhaustiva revisión de seguridad de Mozilla

 

Por Tom Sprin:
La mayoría de los primeros 1 millón de sitios web obtienen una calificación de letra «F» cuando se trata de adoptar una tecnología de seguridad defensiva que proteja a los visitantes de vulnerabilidades XSS, ataques de hombre en el medio y secuestro de cookies.

Las calificaciones reprobatorias provienen de un análisis exhaustivo publicado esta semana por la Fundación Mozilla utilizando su herramienta Observatorio Mozilla . De acuerdo con una exploración de Alexa clasificado 1 millón de sitios web, un mezquino 0,013 por ciento de los sitios recibió un grado «A +» en comparación con 93,45 por ciento ganando un «F».

La herramienta del Observatorio, lanzada el año pasado, prueba sitios web y califica su postura defensiva basada en 13 características relacionadas con la seguridad que van desde el uso del cifrado (HTTPS), exposición a ataques XSS basados ​​en el uso de X-XSS-Protection (XXSSP) y Uso de claves de clave pública que impide el uso de un sitio de los certificados fraudulentos.

El revestimiento de plata a las malas calidades es que en el año desde que la herramienta del Observatorio comenzó a clasificar sitios, la seguridad ha mejorado. En comparación con las exploraciones realizadas entre abril de 2016 y junio de 2017, el porcentaje de sitios que ganan un «B» ha aumentado un 142 por ciento y los que ganan un «C» han aumentado un 90 por ciento.

«Es muy difícil si eres alguien que dirige un sitio web para hacerlo seguro», dijo April King, ingeniero de seguridad de Mozilla y desarrollador de la herramienta Observatory. «Hay tantos estándares de seguridad diferentes. La documentación para esos estándares está esparcida por todo el lugar. No hay muchos recursos individuales que le indiquen lo que necesita hacer. »

King dijo que se anima al ritmo de la mejora cuando se trata de herramientas defensivas específicas. Por ejemplo, el porcentaje de sitios que apoyan HTTPS ha crecido un 36 por ciento en el último año. «El número puede parecer pequeño, pero representa más de 119.000 sitios web de primera», dijo a Threatpost.

Otras ganancias de seguridad incluyen un aumento del 125 por ciento en el número de sitios que han adoptado la política de seguridad de contenido (CSP), una función de navegador que evita los ataques Cross Site Scripting (XSS) e inyección de datos. Otra victoria ha sido un aumento del 117% en la adopción de Subresource Integrity (SRI), una característica de verificación que garantiza que cuando un navegador recolecte recursos de terceros, como una red de distribución de contenido, el contenido no se manipula en tránsito.

Sin embargo, a pesar del crecimiento de tres dígitos en la adopción de CSP y SRI, todavía menos del uno por ciento de los sitios todavía han adoptado estas características de seguridad.

King admite que no es fácil lograr una configuración segura del sitio web, utilizando todas las tecnologías disponibles desarrolladas en los últimos años por los fabricantes de navegadores.

«Soy extremadamente optimista. Con herramientas que son gratuitas y fáciles de usar, como el Observatorio, podemos comenzar a ver un marco común para la construcción de sitios web. Este tipo de herramienta está empujando la conciencia nuevamente dentro de la cadena de herramientas y haciendo que sea muy fácil para que las personas implementen «, dijo King.

King compara el Observatorio con Qualys SSL Labs ‘ SSL Server Test , una herramienta gratuita que analiza la configuración de los servidores web SSL. Observatorio va mucho más allá de la verificación de la implementación TLS de un sitio web y comprueba 13 mecanismos distintos de seguridad web. El sistema de puntuación se basa en un esquema de 0 a 100 puntos. Las puntuaciones no sólo comprobar la presencia de una determinada tecnología, sino la correcta aplicación también.

King ha dicho que es una herramienta didáctica para ayudar a los administradores de todo el sector a «conocer las innumerables tecnologías que los organismos estándar y las compañías de navegación han diseñado e implementado para mejorar la seguridad de los ciudadanos de Internet».

«El hecho de que tantos sitios nuevos hayan comenzado a usar estas tecnologías recientemente es un fuerte signo de que estamos empezando a tener éxito en esa misión», dijo.

 

Fuente: https://threatpost.com/majority-of-sites-fail-mozillas-comprehensive-security-review

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *