1
int64ago 2016-08-28 09:27:00 +08:00 via Android
居然 D
|
2
Aspx 2016-08-28 09:29:13 +08:00
测试好几个国内大型网站都是 F
|
3
ivmm OP |
4
crazycen 2016-08-28 09:35:53 +08:00 via iPhone
我的才 D+
|
5
ys0290 2016-08-28 09:43:21 +08:00 via iPhone
0 分
|
6
wql 2016-08-28 09:46:41 +08:00 via Android
居然是 A ,死在 CSP 上面……
|
7
yangg 2016-08-28 09:54:38 +08:00 via iPhone
不错, b
|
8
ehs2013 2016-08-28 09:55:29 +08:00
不敢上 HSTS , F 就 F 吧
|
9
xiaoc19 2016-08-28 09:57:33 +08:00 4
扫描了下 https://mozilla.github.io
是 F ,寄人篱下啊 |
10
Soaper 2016-08-28 10:34:23 +08:00 via Android
C+什么鬼。。。
|
11
Tink 2016-08-28 10:44:45 +08:00
F
|
12
Chinternet 2016-08-28 10:52:45 +08:00 via Android
小破站 B+
|
13
kingcos 2016-08-28 10:54:35 +08:00
F 。。。
|
14
yangg 2016-08-28 11:04:52 +08:00 via iPhone
并不会 a+, unsafe-inline 很少人能开吧
|
15
caola 2016-08-28 11:11:00 +08:00
在 ssllabs 测试是 A+ ,反而在这里只得了个 C-,看来又要加强安全了。
|
16
Leafove 2016-08-28 11:16:41 +08:00
|
17
qgy18 2016-08-28 11:17:46 +08:00 2
https://imququ.com 仅仅是 A , unsafe-inline 目前确实没办法去掉。
|
18
blackshadow 2016-08-28 11:23:33 +08:00 via Android
F😂
|
21
feather12315 2016-08-28 11:55:55 +08:00 via Android
一个静态 blog , B …
|
22
pubby 2016-08-28 12:04:06 +08:00 via Android
0 分
|
23
qqmishi 2016-08-28 12:17:10 +08:00
果然,学校的网站 score:0
|
24
Arnie97 2016-08-28 12:18:19 +08:00 via Android
测了好几个 SSL Labs 得分 A 的网站,结果全军覆没,都是 F …
|
25
Pseric 2016-08-28 12:49:36 +08:00
不过评分能怎样呢?真的安全才重要吧!
|
26
welsmann 2016-08-28 13:33:33 +08:00
|
27
wql 2016-08-28 13:57:05 +08:00 via Android
unsafe inline 去不掉
|
28
crazycen 2016-08-28 14:29:23 +08:00
优化了一下,到 A+了!!!!
|
29
Zohar 2016-08-28 14:33:53 +08:00 via Android
Mark.
|
30
em2046 2016-08-28 14:57:42 +08:00
F Github 的锅
|
31
UnisandK 2016-08-28 15:05:16 +08:00
丢图跑
|
33
palxex 2016-08-28 16:07:12 +08:00 1
HSTS preloading 居然被放到这么高的位置。问题是这种 [解决方案] 算什么啊,搞了那么久的 PKI 体系最后却指望浏览器里硬编码一个列表,总有种缝缝补补又三年的破烂感。
|
34
imn1 2016-08-28 16:13:18 +08:00
临时工是最强的, A+也能全灭
|
35
fetich 2016-08-28 16:14:12 +08:00
moodyz.com 都有 C 评级
|
36
wzxjohn 2016-08-28 16:19:46 +08:00
居然得了 B ,还不错啊!
|
39
fengxing 2016-08-28 16:46:46 +08:00
google 主站是 C-, mozilla 自家的主页也是 C-
|
41
bubuyu 2016-08-28 17:19:31 +08:00
http://bubuyu.u.qiniudn.com/屏幕快照%202016-08-28%20 下午 5.16.37.png
Mozilla 自己都是 D+ |
42
jhdxr 2016-08-28 18:05:12 +08:00
github.com A+
|
43
Quaintjade 2016-08-28 18:20:22 +08:00
|
44
palxex 2016-08-28 18:43:29 +08:00
@Quaintjade 善。其实 mozilla 对 letsencrypt 的支持和对 h2c 的抗拒应该说明他们的愿景就是如此。但如果是那样, HSTS 、 CSP 乃至 XFO XXP 什么的 header 就都只是过渡用的,只对 http 站点有意义。对 google/github 这些纯 https 站点进行安全评估时完全没必要评价这几点,遑论减分。感觉他们现在有点逻辑混乱。
|
45
lan894734188 2016-08-28 18:48:56 +08:00 via Android
c+
|
46
wql 2016-08-28 19:47:02 +08:00 via Android
@Quaintjade 善哉。多希望 HSTS 之类的只是过渡方案。
|
47
Shura 2016-08-28 19:56:27 +08:00 via Android
F , 15 分
|
48
qgy18 2016-08-28 21:59:17 +08:00
终于 A+ 了,把所有 inline script/style 都改为 CSP2 的 Hashes 了:
content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com; 头部这么多看着真是蛋疼,虽然说有 HTTP/2 的 HPack 。 更为蛋疼的是 safari 仍不支持 CSP2 ,只能 UA 判断下。 |
49
qgy18 2016-08-28 22:08:07 +08:00
|
50
superxzr 2016-08-28 22:09:35 +08:00
F 跪... 不想改了,将就
|
51
seadir 2016-08-28 22:22:40 +08:00
0 分。。。 cloudfront 的锅。。。真没办法, s3 不支持添加 HSTS header
|
52
wujunze 2016-08-28 22:37:36 +08:00
F+1
|
55
rayyang88 2016-08-28 22:42:38 +08:00
google 竟然是 D ,不会吧
|
56
wdlth 2016-08-28 22:44:17 +08:00
CloudFlare 官网是 D ……
VeriSign 官网是 F …… |
57
huihuimoe 2016-08-28 23:03:03 +08:00 via Android
B+ www 還不錯~
|
58
qgy18 2016-08-28 23:05:48 +08:00
|
59
qgy18 2016-08-28 23:08:18 +08:00
@qgy18 那 CSP2 的 Hashes 又是什么鬼呢?
是时候来一发广告了, https://imququ.com/post/content-security-policy-level-2.html#toc-1-0 |
61
Quaintjade 2016-08-28 23:34:45 +08:00
|
62
qgy18 2016-08-29 00:01:44 +08:00
@Quaintjade 应该是注入的 css 。
|
63
qgy18 2016-08-29 00:02:30 +08:00
@Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ,被 block 了也挺好。
|
64
RobertYang 2016-08-29 00:05:40 +08:00 via Android
又有一波 A+教程了 不过这个真的好严格
@Zohar 你的是 C 几天前就玩过了 2333 |
65
wwek 2016-08-29 00:26:20 +08:00
非常严格
|
66
4679kun 2016-08-29 00:31:45 +08:00 via Android
|
67
4679kun 2016-08-29 00:38:07 +08:00 via Android
好歹我也是拿过 100 分的男人(*゚ー゚) |
70
wql 2016-08-29 08:46:16 +08:00 via Android
@4679kun iFrame Sandbox 和 CSP (后面一项没法改,处于兼容还要保留 unsafe-inline )
|
71
csy123 2016-08-29 10:10:13 +08:00
不支持 HTTPS ,妥妥的 F 呀 |
72
4679kun 2016-08-29 11:19:20 +08:00
@wql iframe sandbox 我是这样解决的 https://pastebin.mozilla.org/8905707
CSP 我从别人那里抄的 就一句 frame-ancestors 'self' |
73
zhicheng 2016-08-29 12:38:48 +08:00
developer.mozilla.com 是 D 。
|