Sous la houlette de Mozilla, Observatory est disponible gratuitement en ligne. Il s'appuie sur un ensemble d'outils pour analyser un site donné et indiquer si diverses méthodes disponibles pour une sécurisation sont implémentées ou non. Et attention… ça fait mal.
Sur un ensemble de 1,3 million de sites préalablement testés, 91 % d'entre eux ne tirent pas parti des standards modernes pour la sécurisation et n'obtiennent pas la meilleure note. Cela vaut aussi pour des sites de Mozilla.
Le score de départ est de 100. À chaque manquement, des points sont retranchés mais d'autres peuvent aussi être ajoutés pour déterminer le score de sécurité final qui est converti en une note allant de A à F. Parmi la dizaine d'éléments pris en considération, certains sont plus épineux que d'autres.
Par exemple, l'implémentation de Content Security Policy qui fournit un en-tête HTTP pour déterminer des sources sûres de contenus pouvant être chargés sur une page, une redirection vers HTTPS mais affaiblie avec une redirection initiale vers une autre adresse HTTP, des soucis avec HSTS pour qu'un navigateur ne consulte un site que via HTTPS.
Observatory avait d'abord été développé avec dans l'idée d'aider Mozilla à tester ses propres domaines Internet. C'est désormais possible pour tous les sites afin de " rendre le Web plus sûr ", écrit April King de Mozilla. Il ne s'agit pas en effet de simplement pointer du doigt mais aider les éditeurs de sites en les aiguillant sur ce qu'ils peuvent faire.
