Basta fornire un URL o un dominio e il programma analizzerà le intestazioni fornite dalla pagina specificata. Tra i tanti header testati: HTTP Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy (COOP), Cross-Origin-Resource-Policy (CORP), Set-Cookie, Access-Control-Allow-Origine ...
Molto completo e utile per
- Proprietari del sito: per verificare la loro configurazione e come il loro sito viene visualizzato da browser, crawler, bot, quindi dai clienti (e dalla loro relativa fiducia). Un must per i grandi marchi e i siti commerciali.
- Visitatori o acquirenti: per conoscere la vostra politica e il rischio di navigare sul vostro sito. Un must se avete già qualche dubbio (ma in generale, per la sicurezza, conoscete il detto “se hai già un dubbio...”).
Non solo è uno strumento molto valido, ma anche la documentazione e gli esempi insieme a ciascun tipo di intestazione sono di grande aiuto.
Siate preparati: se il vostro sito dipende fortemente da diversi fornitori di risorse esterne (font, script, CDN, cookie esterni, embed ...), sarà molto difficile ottenere il voto “A+”, soprattutto a causa della “Content Security Policy” e dei suoi requisiti ottimali (caricamento di tutto in locale, https, fonti attendibili ...).
Nota: tenere presente se si seleziona o meno la casella “nascondi risultati” ... come risultati:
- sarà pubblico
- e potrebbe essere incluso nella sezione “gruppo di personaggi famosi” o il “Tutta la vergogna” (detto questo, forse è un'occasione per ottenere un link a fini SEO...)
Raccomandato!
