V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
ivmm
V2EX  ›  分享发现

Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧

  •  
  •   ivmm · 2016-08-28 09:19:36 +08:00 · 5603 次点击
    这是一个创建于 1923 天前的主题,其中的信息可能已经有所发展或是发生改变。
    73 条回复    2016-08-29 12:38:48 +08:00
    int64ago
        1
    int64ago  
       2016-08-28 09:27:00 +08:00 via Android
    居然 D
    Aspx
        2
    Aspx  
       2016-08-28 09:29:13 +08:00
    测试好几个国内大型网站都是 F
    ivmm
        3
    ivmm  
    OP
       2016-08-28 09:31:51 +08:00
    @Aspx
    @int64ago

    这货的标准很严格的。如果 http 和 https 共存的话,没有强制 HSTS 做好的话,妥妥的 F
    crazycen
        4
    crazycen  
       2016-08-28 09:35:53 +08:00 via iPhone
    我的才 D+
    ys0290
        5
    ys0290  
       2016-08-28 09:43:21 +08:00 via iPhone
    0 分
    wql
        6
    wql  
       2016-08-28 09:46:41 +08:00 via Android
    居然是 A ,死在 CSP 上面……
    yangg
        7
    yangg  
       2016-08-28 09:54:38 +08:00 via iPhone
    不错, b
    ehs2013
        8
    ehs2013  
       2016-08-28 09:55:29 +08:00
    不敢上 HSTS , F 就 F 吧
    xiaoc19
        9
    xiaoc19  
       2016-08-28 09:57:33 +08:00   ❤️ 4
    扫描了下 https://mozilla.github.io
    是 F ,寄人篱下啊
    Soaper
        10
    Soaper  
       2016-08-28 10:34:23 +08:00 via Android
    C+什么鬼。。。
    Tink
        11
    Tink  
       2016-08-28 10:44:45 +08:00
    F
    Chinternet
        12
    Chinternet  
       2016-08-28 10:52:45 +08:00 via Android
    小破站 B+
    kingcos
        13
    kingcos  
       2016-08-28 10:54:35 +08:00
    F 。。。
    yangg
        14
    yangg  
       2016-08-28 11:04:52 +08:00 via iPhone
    并不会 a+, unsafe-inline 很少人能开吧
    caola
        15
    caola  
       2016-08-28 11:11:00 +08:00
    在 ssllabs 测试是 A+ ,反而在这里只得了个 C-,看来又要加强安全了。
    Leafove
        16
    Leafove  
       2016-08-28 11:16:41 +08:00

    无脑追求 A+其实已经偏离本质了...除非是个人小博客不然很多设定是不可能的.
    qgy18
        17
    qgy18  
       2016-08-28 11:17:46 +08:00   ❤️ 2
    https://imququ.com 仅仅是 A , unsafe-inline 目前确实没办法去掉。
    blackshadow
        18
    blackshadow  
       2016-08-28 11:23:33 +08:00 via Android
    F😂
    zander
        19
    zander  
       2016-08-28 11:25:42 +08:00
    loading
        20
    loading  
       2016-08-28 11:39:04 +08:00 via Android
    @zander 和大 v 站一个等级~
    feather12315
        21
    feather12315  
       2016-08-28 11:55:55 +08:00 via Android
    一个静态 blog , B …
    pubby
        22
    pubby  
       2016-08-28 12:04:06 +08:00 via Android
    0 分
    qqmishi
        23
    qqmishi  
       2016-08-28 12:17:10 +08:00
    果然,学校的网站 score:0
    Arnie97
        24
    Arnie97  
       2016-08-28 12:18:19 +08:00 via Android
    测了好几个 SSL Labs 得分 A 的网站,结果全军覆没,都是 F …
    Pseric
        25
    Pseric  
       2016-08-28 12:49:36 +08:00
    不过评分能怎样呢?真的安全才重要吧!
    welsmann
        26
    welsmann  
       2016-08-28 13:33:33 +08:00
    得了个 D +..


    Google 主站是 D , Baidu 主站是 F
    wql
        27
    wql  
       2016-08-28 13:57:05 +08:00 via Android
    unsafe inline 去不掉
    crazycen
        28
    crazycen  
       2016-08-28 14:29:23 +08:00
    优化了一下,到 A+了!!!!
    Zohar
        29
    Zohar  
       2016-08-28 14:33:53 +08:00 via Android
    Mark.
    em2046
        30
    em2046  
       2016-08-28 14:57:42 +08:00
    F Github 的锅
    UnisandK
        31
    UnisandK  
       2016-08-28 15:05:16 +08:00
    丢图跑

    VmuTargh
        32
    VmuTargh  
       2016-08-28 16:06:24 +08:00 via Android
    Etula.me HTTP 头得了 A TLS 部分得了 m
    palxex
        33
    palxex  
       2016-08-28 16:07:12 +08:00   ❤️ 1
    HSTS preloading 居然被放到这么高的位置。问题是这种 [解决方案] 算什么啊,搞了那么久的 PKI 体系最后却指望浏览器里硬编码一个列表,总有种缝缝补补又三年的破烂感。
    imn1
        34
    imn1  
       2016-08-28 16:13:18 +08:00
    临时工是最强的, A+也能全灭
    fetich
        35
    fetich  
       2016-08-28 16:14:12 +08:00
    moodyz.com 都有 C 评级
    wzxjohn
        36
    wzxjohn  
       2016-08-28 16:19:46 +08:00
    居然得了 B ,还不错啊!
    VmuTargh
        37
    VmuTargh  
       2016-08-28 16:24:41 +08:00 via Android
    @qgy18 Mozilla 窝记得最推崇 in line 了 现在 hhhhh
    mingyun
        38
    mingyun  
       2016-08-28 16:26:30 +08:00
    加载好慢, qq.com F
    fengxing
        39
    fengxing  
       2016-08-28 16:46:46 +08:00
    google 主站是 C-, mozilla 自家的主页也是 C-
    DaCong
        40
    DaCong  
       2016-08-28 16:47:26 +08:00
    似乎 github.io 下的站点全部是 F
    bubuyu
        41
    bubuyu  
       2016-08-28 17:19:31 +08:00
    http://bubuyu.u.qiniudn.com/屏幕快照%202016-08-28%20 下午 5.16.37.png
    Mozilla 自己都是 D+
    jhdxr
        42
    jhdxr  
       2016-08-28 18:05:12 +08:00
    Quaintjade
        43
    Quaintjade  
       2016-08-28 18:20:22 +08:00
    @palxex
    HSTS preloading 算是不得已的过渡方案吧。
    也许某天浏览器默认加载 https ,非 https 必须手动加上 http://
    palxex
        44
    palxex  
       2016-08-28 18:43:29 +08:00
    @Quaintjade 善。其实 mozilla 对 letsencrypt 的支持和对 h2c 的抗拒应该说明他们的愿景就是如此。但如果是那样, HSTS 、 CSP 乃至 XFO XXP 什么的 header 就都只是过渡用的,只对 http 站点有意义。对 google/github 这些纯 https 站点进行安全评估时完全没必要评价这几点,遑论减分。感觉他们现在有点逻辑混乱。
    lan894734188
        45
    lan894734188  
       2016-08-28 18:48:56 +08:00 via Android
    c+
    wql
        46
    wql  
       2016-08-28 19:47:02 +08:00 via Android
    @Quaintjade 善哉。多希望 HSTS 之类的只是过渡方案。
    Shura
        47
    Shura  
       2016-08-28 19:56:27 +08:00 via Android
    F , 15 分
    qgy18
        48
    qgy18  
       2016-08-28 21:59:17 +08:00
    终于 A+ 了,把所有 inline script/style 都改为 CSP2 的 Hashes 了:

    content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

    头部这么多看着真是蛋疼,虽然说有 HTTP/2 的 HPack 。

    更为蛋疼的是 safari 仍不支持 CSP2 ,只能 UA 判断下。
    qgy18
        49
    qgy18  
       2016-08-28 22:08:07 +08:00
    superxzr
        50
    superxzr  
       2016-08-28 22:09:35 +08:00
    F 跪... 不想改了,将就
    seadir
        51
    seadir  
       2016-08-28 22:22:40 +08:00
    0 分。。。 cloudfront 的锅。。。真没办法, s3 不支持添加 HSTS header
    wujunze
        52
    wujunze  
       2016-08-28 22:37:36 +08:00
    F+1
    ivmm
        53
    ivmm  
    OP
       2016-08-28 22:38:55 +08:00
    @qgy18 大神就是大神
    wql
        54
    wql  
       2016-08-28 22:41:04 +08:00 via Android
    @qgy18 这是有一点求本逐末的意思了吧……
    rayyang88
        55
    rayyang88  
       2016-08-28 22:42:38 +08:00
    google 竟然是 D ,不会吧
    wdlth
        56
    wdlth  
       2016-08-28 22:44:17 +08:00
    CloudFlare 官网是 D ……
    VeriSign 官网是 F ……
    huihuimoe
        57
    huihuimoe  
       2016-08-28 23:03:03 +08:00 via Android
    B+ www 還不錯~
    qgy18
        58
    qgy18  
       2016-08-28 23:05:48 +08:00
    @wql 嗯,如果为了追求得分而损失功能或体验,确实得不偿失。

    所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ,也算是更遵守规范了吧。
    qgy18
        59
    qgy18  
       2016-08-28 23:08:18 +08:00
    @qgy18 那 CSP2 的 Hashes 又是什么鬼呢?

    是时候来一发广告了, https://imququ.com/post/content-security-policy-level-2.html#toc-1-0
    kn007
        60
    kn007  
       2016-08-28 23:12:21 +08:00
    @qgy18 你这强迫症啊。。
    Quaintjade
        61
    Quaintjade  
       2016-08-28 23:34:45 +08:00
    @qgy18
    看了下 console 似乎还是有资源被 block 住了。
    话说 WP 插件多了之后一堆 inline ,手动改好像不太现实。
    qgy18
        62
    qgy18  
       2016-08-29 00:01:44 +08:00
    @Quaintjade 应该是注入的 css 。
    qgy18
        63
    qgy18  
       2016-08-29 00:02:30 +08:00
    @Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ,被 block 了也挺好。
    RobertYang
        64
    RobertYang  
       2016-08-29 00:05:40 +08:00 via Android
    又有一波 A+教程了 不过这个真的好严格
    @Zohar 你的是 C 几天前就玩过了 2333
    wwek
        65
    wwek  
       2016-08-29 00:26:20 +08:00
    非常严格
    4679kun
        66
    4679kun  
       2016-08-29 00:31:45 +08:00 via Android
    4679kun
        67
    4679kun  
       2016-08-29 00:38:07 +08:00 via Android

    好歹我也是拿过 100 分的男人(*゚ー゚)
    wql
        68
    wql  
       2016-08-29 08:38:59 +08:00 via Android
    @4679kun woc100 分? 怎么做到的?我目前只做到 95
    4679kun
        69
    4679kun  
       2016-08-29 08:44:42 +08:00
    @wql 你哪个项目扣分了
    wql
        70
    wql  
       2016-08-29 08:46:16 +08:00 via Android
    @4679kun iFrame Sandbox 和 CSP (后面一项没法改,处于兼容还要保留 unsafe-inline )
    csy123
        71
    csy123  
       2016-08-29 10:10:13 +08:00

    不支持 HTTPS ,妥妥的 F 呀
    4679kun
        72
    4679kun  
       2016-08-29 11:19:20 +08:00
    @wql iframe sandbox 我是这样解决的 https://pastebin.mozilla.org/8905707
    CSP 我从别人那里抄的 就一句 frame-ancestors 'self'
    zhicheng
        73
    zhicheng  
       2016-08-29 12:38:48 +08:00
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   997 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:26 · PVG 06:26 · LAX 14:26 · JFK 17:26
    ♥ Do have faith in what you're doing.