Mozilla:全球TOP 100万网站Web安全性大幅提升
Mozilla 一年前发布的 Mozilla Observatory 扫描了 Alexa 排名前 100 万的网站,结果令人沮丧,大多数网站的文档和安全措施都非常糟糕,站点运营者们对内容安全(CSP)、HTTP 严格传输安全(HSTS)和子资源完整性(SRI)的重要性缺乏认知。
全球 web 站点安全性快速大幅提升
数月后,Mozilla 对 Alexa 前 100 万家网站进行了重新扫描,发现全球 web 网站的安全性有了大幅改善。HSTS 和 CSP 的部署都超过了 50%,其他方面的 web 安全性也都得到不同程度的改进,统计如下:
从上表可以看出,全球 web 站点的安全性正在以出人意料的高速度提升,虽然部署 HTTPS 的站点数量只增长了 36%,但是绝对数量已经非常可观,Alexa 前 100 万网站中已经有 11.9 万家网站部署了 HTTPS(编者按:前天 Let’s Encrypt 刚刚庆祝 HTTPS 免费证书发放数突破一亿大关)。
不仅如此,已经部署 HTTPS 的网站中,多达 9.3 万家网站将 HTTPS 设置为默认访问选项,其中 1.8 万家网站甚至禁止未加密的 HTTP 访问。
内容安全策略(CSP)的普及速度也非常惊人,因为对于一个新的站点来说,部署 CSP 其实还是有些难度的,需要对 CSP 进行重构和改造来适应站点。
Obervatory 安全评级:有喜有忧
虽然全球 web 站点的安全性过去几个月取得来飞速的进展,但是多数大网站依然没有部署 CSP 和 SRI,要知道这些技术如果部署得当,能够消除绝大多数的站点攻击,为用户提供更好的安全防护。以下为 Mozilla 给出的全球站点安全评级数据对照表:
其中不及格(F级)的网站数下降来 2.8%,这意味着过去八个月中 2.7 万家安全性不达标的网站进行来有效的改进。
成功扫描的 969924 家网站中,有超过 5 万家网站使用 Mozilla Observatory 来扫描网站改进安全评级,其中 2500 家网站的安全评分直接从F跳升到A或A+。
来自:IT 经理网-宋妍