Alexaのトップ10,000Webサイトに対して、セキュリティ関連のHTTPヘッダーや、モバイル端末での違いなどを調査した結果が公表されています。調査にはUA-Testerというツールが使われています。レポートは2011年3月14日段階で収集した物を解析したとのこと。

セキュリティ関連のHTTPヘッダーの使用状況の調査は次の4項目について行われています。

• X-XSS-Protection
  • XSS Filterを無効にしたりするなど制御するためのヘッダーです。
  • このヘッダーを含んでいたサイトは1.52%で、そのうち8.7%が無効化（0を指定）していたとのこと。
• X-Frame-Options
  • コンテンツを他のフレーム内での表示を制御するためのヘッダーで、Clickjacking対策として有効です。
  • 最近の主要なブラウザで実装されているにもかかわらず、0.54%しか使われていないとのこと。
• Access-Control-Allow-Origin
  • ドメインなどを指定するとSame Origin Policyを適用されないようにすることができるヘッダーで、クロスサイトでのAJAXを可能にするためなどに使用されています。
  • 0.05%のサイトで使われていて、61％が"*"とワイルドカードを指定していたとのこと。
• Strict-Transport-Security
  • https://での通信を強制したいときに指定するヘッダーです。
  • 0.01%のサイトで使われていたとのこと。要は1サイトだけですね。

• SHODAN Research - HTTP Header Survey

その他、ユーザーエージェントによって返すServerヘッダーの種類の調査や、ブロックされたユーザーエージェントの調査などが行われています。ちなみにブロックされるユーザーエージェントの上位は、Nikto、Wget、cURLだそうです。

調査データの生CSVデータはこちらからダウンロードできます。

• http://www.shodanhq.com/research/infodisc/download_latest