Сразу скажу: не знаю инструментов, которые могли бы проанализировать стойкость шифрования на сайте с ajax автоматически.
Инструменты же, которые при заходе на страницу показывают стойкость шифрования есть. Они даже бесплатные. Например, дополнение Calomel SSL Validation для FireFox.
Однако, это дополнение оценивает только стойкость подгружаемой страницы. В то время как вредоносный скрипт или конфиденциальные данные могут быть загружены и через ajax-запросы, и через дополнительно подгружаемые файлы.
Поэтому расширение для FireFox от Calomel здесь не подходит. А что подходит?
Новая альфа версия дополнения http useragent cleaner/ (доступна внизу страницы в разделе «канал разработчика») позволяет оценить все запросы, идущие со страницы.
Почему это так важно?
Например, защита mail.yandex.ru оценивается этим дополнением в 20%. Однако подгрузка изображений, которая иногда происходит при работе с почтой yandex.ru, пользуется шифрованием с оценкой 6%.
Вот так это выглядит в логе дополнения
Мы видим два изображения, подгруженных друг за другом. Одно с шифрованием 20%, другое — 6,2%.
Изображение может как содержать конфиденциальную информацию, так и быть использованным для инфицирования (последняя брешь в отображении png-файлов в части популярных браузеров была закрыта в конце 2014 года).
Таким образом, пренебрегая оценкой стойкости всех запросов, мы думаем, что мы имеем стойкое шифрование, но, в действительности, имеем значительно менее стойкое шифрование.
Аналогичная проблема на сайте habrastorage.org. Хотя сам сайт оценивается в 60%, он подгружает яндекс.метрику с оценкой 20%. Конечно, вряд ли яндекс.метрика будет передавать конфиденциальную информацию, но, теоретически, может быть использована для внедрения вредоносного кода.
Общая оценка страницы выводится на вкладке FireFox указанного расширения. Для просмотра лога нужно пройти на вкладку TLS.
Таким образом, данное расширение для FireFox позволяет тестировщику, одновременно с тестированием web-сайта, оценивать его защищённость, даже если на нём используется ajax.
При этом:
* оцениваются все запросы, которые поступили от браузера при работе тестировщика на странице
* оцениваются как сертификаты серверов, так и промежуточные и корневые сертификаты
* выводится полный лог с указанием оценок по страницам и по примитивам шифрования на страницах, что позволяет разработчику выявлять конкретные проблемные страницы, сертификаты и примитивы шифрования
Инструменты же, которые при заходе на страницу показывают стойкость шифрования есть. Они даже бесплатные. Например, дополнение Calomel SSL Validation для FireFox.
Однако, это дополнение оценивает только стойкость подгружаемой страницы. В то время как вредоносный скрипт или конфиденциальные данные могут быть загружены и через ajax-запросы, и через дополнительно подгружаемые файлы.
Поэтому расширение для FireFox от Calomel здесь не подходит. А что подходит?
Новая альфа версия дополнения http useragent cleaner/ (доступна внизу страницы в разделе «канал разработчика») позволяет оценить все запросы, идущие со страницы.
Почему это так важно?
Например, защита mail.yandex.ru оценивается этим дополнением в 20%. Однако подгрузка изображений, которая иногда происходит при работе с почтой yandex.ru, пользуется шифрованием с оценкой 6%.
Вот так это выглядит в логе дополнения
Мы видим два изображения, подгруженных друг за другом. Одно с шифрованием 20%, другое — 6,2%.
Изображение может как содержать конфиденциальную информацию, так и быть использованным для инфицирования (последняя брешь в отображении png-файлов в части популярных браузеров была закрыта в конце 2014 года).
Таким образом, пренебрегая оценкой стойкости всех запросов, мы думаем, что мы имеем стойкое шифрование, но, в действительности, имеем значительно менее стойкое шифрование.
Аналогичная проблема на сайте habrastorage.org. Хотя сам сайт оценивается в 60%, он подгружает яндекс.метрику с оценкой 20%. Конечно, вряд ли яндекс.метрика будет передавать конфиденциальную информацию, но, теоретически, может быть использована для внедрения вредоносного кода.
Общая оценка страницы выводится на вкладке FireFox указанного расширения. Для просмотра лога нужно пройти на вкладку TLS.
Таким образом, данное расширение для FireFox позволяет тестировщику, одновременно с тестированием web-сайта, оценивать его защищённость, даже если на нём используется ajax.
При этом:
* оцениваются все запросы, которые поступили от браузера при работе тестировщика на странице
* оцениваются как сертификаты серверов, так и промежуточные и корневые сертификаты
* выводится полный лог с указанием оценок по страницам и по примитивам шифрования на страницах, что позволяет разработчику выявлять конкретные проблемные страницы, сертификаты и примитивы шифрования