Mozilla網站安全大體檢：Alexa前100萬大網站已有45%採用HTTPS

Mozilla上周公布最新一次的Mozilla Observatory網站安全檢測掃描結果，在掃描Alexa流量排名的前100萬個網站後，發現有93.45%的網站在安全性上取得F的最低分，較去年10月的96.09%已有改善，而取得最A+最高分的則佔了0.013%，也比去年10月的0.008%增加了62%。特別的是HTTPS採用比例已提高到45.8%。

去年4月發表的Mozilla Observatory是個開源碼安全掃描機制，它以13項指標來衡量網站的安全性，涵蓋內容安全政策（CSP）、Cookies、跨來源資源共享（CORS）、HTTPS、HPKP、HSTS及X-XSS保護等，分數則有A+到F的七等。

根據Mozilla今年6月的檢測（下圖，來源：Mozilla），最多網站部署的安全機制為CORS，妥善的配置可安全地建立同源政策，允許其他網站存取特定的網頁內容，部署比例高達96.55%，居次的則是HTTPS，部署比例為45.8%，高於去年4月的29.64%及10月的33.57%。

至於成長最多的則是內容安全政策（Content Security Policy），它能避免跨站指令碼（Cross Site Scripting）及點閱綁架（Clickjacking）攻擊，部署該機制的網站比例從去年10月的0.008%成長到今年的0.018%，成長幅度為125%。

其次則是子資源完整性（Subresource Integrity，SRI），它能避免儲存於內容遞送網路上的JavaScript檔案及串接樣式表（Style Sheet）被竄改，採用比例從去年10月的0.052%成長到今年的0.113%，增加了117%。

從Mozilla Observatory的標準來看（下圖），全球絕大多數的網站在安全上都不及格，今年取得A+的網站比例為0.013%，取得A的也只有0.29%，但已分別比去年成長了62%及142%，且得到F的下滑了2.8%。

根據統計，迄今已有超過5萬個網站利用Mozilla Observatory來掃描網站並改善它們的安全機制。