«Вроде, работает» — это та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.

Разработчик сервиса SecurityHeaders.io рассказывает, что потребность в проверке заголовков однажды возникла у него самого. Решив свою задачу, он подумал, что это неплохая идея для публично доступного сервиса. Пользоваться им просто: указываешь адрес сайта, жмешь Scan и среди результатов видишь заголовки ответа сервера, а также краткий анализ того, каких важных для безопасности полей не хватает. К примеру, отсутствие заголовка X-XSS-Protection будет означать, что сайт не просит браузеры включать фильтр XSS, а без Strict-Transport-Security (HSTS) повышается вероятность утечки сессий и атак типа MitM.

Сервис SSL Server Test, разработанный в Qualys SSL Labs, похожим образом проводит проверку сертификатов SSL и выдает подробнейший отчет о ключах и поддерживаемых методах шифрования. Он даже симулирует хендшейки в разных браузерах и операционных системах.

Оба сервиса заканчивают свою работу выставлением оценки (от F до A+). По умолчанию она будет отображаться в таблице рекордов на главной странице, но до начала сканирование эту опцию можно и отменить.



1 комментарий

  1. Toper Harley

    29.02.2016 at 11:25

    Наткнулся на похожий сервис exploit.by но там нету оценок, правда больше разных проверок

Оставить мнение