圖片來源: 

Mozilla

Mozilla上周公布最新一次的Mozilla Observatory網站安全檢測掃描結果,在掃描Alexa流量排名的前100萬個網站後,發現有93.45%的網站在安全性上取得F的最低分,較去年10月的96.09%已有改善,而取得最A+最高分的則佔了0.013%,也比去年10月的0.008%增加了62%。特別的是HTTPS採用比例已提高到45.8%。

去年4月發表的Mozilla Observatory是個開源碼安全掃描機制,它以13項指標來衡量網站的安全性,涵蓋內容安全政策(CSP)、Cookies、跨來源資源共享(CORS)、HTTPS、HPKP、HSTS及X-XSS保護等,分數則有A+到F的七等。

根據Mozilla今年6月的檢測(下圖,來源:Mozilla),最多網站部署的安全機制為CORS,妥善的配置可安全地建立同源政策,允許其他網站存取特定的網頁內容,部署比例高達96.55%,居次的則是HTTPS,部署比例為45.8%,高於去年4月的29.64%及10月的33.57%。

至於成長最多的則是內容安全政策(Content Security Policy),它能避免跨站指令碼(Cross Site Scripting)及點閱綁架(Clickjacking)攻擊,部署該機制的網站比例從去年10月的0.008%成長到今年的0.018%,成長幅度為125%。

其次則是子資源完整性(Subresource Integrity,SRI),它能避免儲存於內容遞送網路上的JavaScript檔案及串接樣式表(Style Sheet)被竄改,採用比例從去年10月的0.052%成長到今年的0.113%,增加了117%。

從Mozilla Observatory的標準來看(下圖),全球絕大多數的網站在安全上都不及格,今年取得A+的網站比例為0.013%,取得A的也只有0.29%,但已分別比去年成長了62%及142%,且得到F的下滑了2.8%。

根據統計,迄今已有超過5萬個網站利用Mozilla Observatory來掃描網站並改善它們的安全機制。


Advertisement

更多 iThome相關內容