Политика за измерване Основен security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security измерва и публикува всички мерки за онлайн безопасност, които е отговорно да бъдат публикувани, повече за това в политиката за публикуване. Използваме и съображенията в нашия кодекс на поведение, за да определим кои измервания да бъдат добавени.

В тази статия е посочено кои измервания се извършват с какви техники. Пълният им списък с препратките към тях се намира под заглавието „преглед на всички измервания“.

Тази политика за измерване винаги се развива и отговаря на новите тенденции. Съществуват редица изключения от тази политика за измерване; те са описани в изключенията от политиката за измерване.

Моля, прочетете нашия отказ от отговорност, преди да използвате данните от измерванията. Ако имате някакви въпроси, моля, свържете се с info@internetcleanup.foundation.

В тази статия се казва:

• Информация за навременността на измерванията
• Как измерванията се оценяват по-стриктно с течение на времето (пътна карта)
• Преглед на всички индивидуални измервания
  • Включва връзки към документация и инструменти за тестване

Навременност на измерванията

Измерванията се извършват от ден до седмица, като това зависи от сложността и интензивността на измерванията. Еднократното измерване на инвентара се извършва веднъж на шест месеца, тъй като е шумно, повторното измерване на това се извършва веднъж седмично.

Поради честотата на измерванията данните в докладите обикновено не са по-стари от една седмица. Ако е така, значи се случва нещо специално. Все още работим по функционалността измерванията, по-стари от два месеца, никога да не се появяват в отчетите и да намалим тази продължителност до най-много един месец.

Винаги можете да видите колко старо е дадено измерване в подробния отчет. Това е показано в долната част на всяко измерване. Така че в примера по-долу можете да видите, че измерването е едно и също от 22 дни и че последното измерване е извършено преди 1 ден.

Освен това всяка карта показва качеството на данните в нея. Този преглед показва кои измервания са направени и колко от тях са актуални/неактуални. В този преглед измерванията, които са по-стари от 7 дни, се считат за остарели. Това може да се види и в примера по-долу.

Качеството на данните се намира под куршума в горния ляв ъгъл на картата. Тази топка се оцветява в зависимост от качеството. Ако е оранжева или червена, значи нещо не е наред. Обикновено то е на зелена точка. Ако всичко е актуално, тук има дъга.

Пътна карта за затягане на измерванията

С течение на времето контролът ще бъде по-строг. Например някои констатации в момента са зелени или оранжеви, но в бъдеще ще станат червени.

Новото четене често се представя като оранжево или зелено, за да могат хората да свикнат с него и да действат, преди да се превърне в червено.

Пътната карта за това все още е разпокъсана и не е установена. Когато се въвеждат отделни измервания, това често се споменава. Тази информация все още се събира.

Преглед на всички измервания

Тук е представен преглед на всички измервания, оценки, документация и инструменти, с които можете да се измервате. Когато всички те се прилагат правилно, организацията се поставя на зелена карта.

Ако една организация следи своите онлайн услуги и ги намалява до минимум, не е трудно да достигне оранжев или дори зелен цвят.

Защитено име на домейн (DNSSEC)

• Цел: Предоставяне на сигурност относно името на домейна и съдържанието на сайта
• Най-тежката оценка: Червено
• Измерено с: dnssec.pl инструмент
• Документация: internet.co.uk, OpenCRE, Wikipedia
• Може да се провери на: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS на уебсайта (HTTPS)

• Цел: Прилагане на криптиране: посещението на уебсайта е поверително и почтено. Проверете дали доверието е в ред и дали няма уязвимости в криптирането.
• Най-тежката оценка:Червено
• Измерва се с: Qualys SSL Labs
• Документация: Настройки на TLS, Уикипедия, Закон за цифровото управление
• Да се измери на: SSL Labs

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Сайт без криптиране (HTTPS)

• Цел: прилагане на криптиране, същото като TLS в уебсайта
• Най-тежката оценка:Червено
• Измерва се с: Собствен скенер
• Документация: Настройки на TLS, Уикипедия, Закон за цифровото управление
• Да се измери на: SSL Labs, internet.co.uk

# level: endpoint
plain_http

Прехвърляне на файлове (FTP)

• Цел: прилагане на криптиране
• Най-тежката оценка:Червено
• Измерва се с: Собствен скенер
• Документация: Уикипедия
• Може да се провери на адрес, например: ftptest.net

# level: endpoint
ftp

Информация за версията на софтуера (банери)

• Цел: премахване на информацията за версията, защото тя е полезна само за нападателите
• Най-тежката оценка:Червено
• Измерено с: nmap
• Документация: Уикипедия, nmap
• Проверка за: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Сигурност на електронната поща (STARTTLS, DMARC, DKIM, SPF)

• Цел: осигуряване на целостта и поверителността на електронната поща
• Най-тежката оценка:Червено
• Измерено от: internet.co.uk
• Документация: Уикипедия (STARTTLS), Уикипедия (DKIM), Уикипедия (DMARC), Уикипедия (SPF)
• Може да се провери в: internet.co.uk, dmarcian, mxtoolbox и др.

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Портали за вход

• Цел: Да не се предоставя глобална и публична функционалност, предназначена за малка група хора, особено за защита на функционалността на администратора.
• Най-тежката оценка: Червено
• Измерва се с: Ядра
• Документация: Уикипедия
• Измерване на о.а.: проверете връзките в констатациите. Има ли тук портал за вход? Тогава констатацията все още е валидна. Тези портали се намират на специална страница, наречена Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Бисквитки за проследяване без съгласие

• Цел: Бисквитките за проследяване никога не трябва да се задават без разрешение. Като направят това прозрачно, създателите на уебсайтове могат да премахнат тези бисквитки.
• Най-тежка оценка: Оранжево, Червено от януари 2024 г.
• Измерва се с: Собствен скенер obv Драматург
• Документация: не е уточнено
• Измерва се при: tbd

Преглед на измерените бисквити за проследяване

Измерваме бисквитите за проследяване по-долу. Това са бисквити за проследяване, за които доставчикът посочва, че са поставени за маркетингови цели. Тези бисквити за проследяване са най-често поставяните бисквити за проследяване според нашето проучване от ноември 2023 г.

# level: endpoint
web_privacy_cookie_products_no_consent

Собственик на интернет адреса (WHOIS)

• Цел: Да се въведе ред в администрирането на домейна. Външно лице може да провери дали сайтът принадлежи на правилната организация в SIDN.
• Най-тежката оценка: Orange
• Измерва се с: Собствен скенер
• Документация: SIDN, Wikipedia, OpenCRE
• Може да се провери на: SIDN

# level: url
whois_domain_ownership

Защитена връзка съгласно изискванията на NCSC-NL (TLS)

• Цел: Прилагане на криптиране, измерване на правните изисквания
• Най-тежката оценка:Orange
• Измерено от: internet.co.uk
• Документация: Закон, Тълкуване на закона, Технически изисквания
• Измерва се например в: internet.co.uk

# level: endpoint
internet_nl_web_tls

Security.txt

• Цел: Да можете да получавате известия за сериозни онлайн уязвимости.
• Най-тежката оценка:Orange
• Измерено от: internet.co.uk
• Документация: internet.co.uk, Wikipedia, securitytxt.org
• Измерва се например в: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Доверено маршрутизиране на интернет трафика (RPKI)

• Цел: Гарантиране, че интернет трафикът преминава по правилния път
• Най-тежката оценка:Orange
• Измерено от: internet.co.uk
• Документация: Уикипедия
• Може да се провери на адрес: internet.co.uk, ripe

# level: endpoint
internet_nl_web_rpki_exists

Заглавие на HSTS

• Цел: Налагане на криптиране на уебсайтове, докато браузърите не го правят
• Най-тежката оценка:Orange
• Измерва се с: Собствен скенер
• Документация: MDN, Уикипедия, Закон за цифровото управление
• Може да се провери на: securityheaders.com, internet.co.uk и др.
• Обърнете внимание, че включването на поддомейни и предварителното зареждане се игнорира, в случай че предварителното зареждане не е актуализирано и посетителят попадне на поддомейн без HSTS заглавие.

# level: endpoint
http_security_header_strict_transport_security

Посещението на уебсайта е съобразено с поверителността

• Цел: Конфиденциалност на посещението, за да не ви бъдат изпращани реклами след посещението
• Най-тежката оценка:Orange
• Измерва се с: Собствен скенер
• Документация: Изграждане на сайтове с грижа за неприкосновеността на личния живот – брошура, Disconnect.me, забрана на Google Analytics
• Да се измери на: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Излишни услуги (отворени врати)

• Цел: Минимизиране на онлайн услугите. Общественият интернет трябва да съдържа само услуги, които трябва да са достъпни за всички по света.
• Най-тежката оценка:Orange
• Измерва се с: Nmap
• Документация: Уикипедия (отворени врати)
  • Проверка за: ipvoid

# level: endpoint
ports

STARTTLS Присъствие (електронна поща)

• Цел: да можете да изпращате криптирани имейли към пощенския сървър като изпращач.
• Най-тежката оценка:Orange
• Измерено от: internet.co.uk
• Документация: internet.co.uk
  • Измерва се например в: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

Криптиране на имейли в съответствие с изискванията на NCSC

• Цел: да можете да изпращате криптирани имейли към пощенския сървър като изпращач.
• Най-тежката оценка:Orange
• Измерено от: internet.co.uk
• Документация: internet.co.uk
  • Измерва се например в: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

Местоположение на сървъра (IP геолокация)

• Цел: Обработване на данни в Нидерландия/ЕС, измерване на правните изисквания. Уверете се, че всички услуги са на собствената си (законова) територия.
• Най-тежката оценка:Зелен (по време на въвеждащия период),Оранжев след октомври 2023 г.
• Измерва се с: Maxmind, Ripe (за някои корекции)
• Документация: Закон за забрана на обработката на данни извън ЕС (Matomo)
• Може да се провери на: InfoByIP, geolocation.com, iplocation.io (не всички тези сайтове имат една и съща база данни за геолокация)

# level: url
location_server
location_mail_server
location_third_party_website_content

Други заглавия на уебсайтове (X-Frame-Options и др.)

• Цел: Сигурни настройки при посещение на уебсайт
• Най-тежката оценка:Orange (без CSP И x-frame-options),Зелено (останалите)
• Измерва се с: Собствен скенер
• Документация: Общи (OWASP), CSP хедър, Политика за разрешения, Политика за препращане, X-Content-Type-Options, Clickjacking,
• Може да се провери на: securityheaders.com, internet.co.uk и др.

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)