De tool heeft de naam Observatory en was in eerste instantie gebouwd voor intern gebruik door security Engineer April King. De scanner beviel zo goed dat collega's haar aanspoorden de scanner openbaar beschikbaar te maken.

King liet zich inspireren door Qualy's SSL Server Test. Qualy's scanner staat zeer goed aangeschreven en wordt gebruikt om SSL/TLS configuraties van websites te scannen en potentiële kwetsbaarheden te detecteren. Observatory scant niet alleen SSL/TLS-implementaties maar ook naar andere beveiligingsmechanismen waaronder cookie security flags, Cross-origin Resource Sharing (CORS), Content Security Policy (CSP), http Public Key Pinning, http Strict Transport Security (HSTS), Redirections, subresource integrity, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection en meer.

De tool checkt niet alleen of deze technologieën aanwezig zijn, maar ook of deze correct zijn geïmplementeerd. De tool checkt overigens niet of er kwetsbaarheden in de code van websites zitten. Daarvoor zijn er meer dan genoeg andere (commerciële) tools beschikbaar.

King liet in een blog post dat het gebruiken van alle beschikbare (beveiligings)technologieën lastiger is dan het zoeken en patchen van kwetsbaarheden in de code. "Deze technologieën zijn verspreid over tientallen verschillende standaarddocumenten. De individuele artikelen mogen dan wel over deze technologieën praten, er was geen enkele [centrale] plek waar site operators konden leren hoe ze deze konden implementeren."

Dat het lastig is om bronnen te vinden met begrijpelijke informatie rond de beveiligingsfeatures voor websites (en het feit dat zo weinig mensen ze daadwerkelijk allemaal implementeren) is ook te zien in de resultaten van de scanner. Van de 1,3 miljoen gescande websites slaagt ongeveer 121 duizend. Zelfs een deel van Mozilla's eigen websites zakt en sommige onderdelen halen slechts een F. Aan de issues wordt hard gewerkt en inmiddels hebben sommige een A+.

Op de volgende pagina: We nemen de proef op de som

Ook wij namen de proef op de som en zagen dat de gemiddelde (tech)nieuwssite (en ook onze eigen site) een dikke onvoldoende scoort.

Wij scoren een dikke, vette F

Ook Nu.nl scoort een dikke, vette F

Zelfs de website van beveiligsbedrijf Fox-IT komt niet door de test

Mozilla.com doet het ietsjes beter, maar haalt nog steeds een onvoldoende

De resultaten worden op een overzichtelijke, vriendelijke manier weergegeven en linken naar Mozilla's websecurity guidelines. Deze bevatten implementatievoorbeelden waardoor website administrators de gevonden issues makkelijker begrijpen en deze kunnen oplossen.

King houdt overigens wel een slag om de arm wat de scanner betreft: "De resultaten van Observatory hoeft niet helemaal accuraat te zijn voor je website. De beveiligingseisen voor een website als GitHub zijn een stuk gecompliceerder dan die van een persoonlijke blog. Toch is het handig beheerders aan te sporen de beveiligingstechnieken ook toe te passen op low-risk-sites," aldus King.

De code van Observatory is open source. De API en command-line tools kunnen worden gebruikt (en aangepast) door administrators die regelmatig een groot aantal websites moeten scannen. De tool kan bijvoorbeeld intern worden ingezet.