Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.Basisbeveiliging mjeri i objavljuje sva mjerenja vezana uz online sigurnost koja je odgovorno objaviti, više o tome nalazi se u politici objavljivanja. Osim toga, koristimo razmatranja u našem kodeksu ponašanja kako bismo odredili koja će se mjerenja dodati.
U ovom članku navedeno je koja se mjerenja provode u vezi s kojim tehnikama. Potpuni popis toga, s referencama, nalazi se pod naslovom „pregled svih mjerenja“.
Ova politika mjerenja uvijek je u razvoju i reagira na nove događaje. Na ovu politiku mjerenja primjenjuju se brojne iznimke, koje su opisane u iznimkama od politike mjerenja.
Pročitajte našu izjavu o odricanju od odgovornosti za korištenje podataka mjerenja. Ako imate pitanja, obratite se na info@internetcleanup.foundation.
U ovom članku stoji:
- Informacije o aktualnosti mjerenja
- Kako se mjerenja s vremenom strože ocjenjuju (roadmap)
- Pregled svih pojedinačnih mjerenja
- Uključujući poveznice na dokumentaciju i alate za testiranje
Aktualnost mjerenja
Mjerenja se provode dnevno do tjedno, ovisno o složenosti i intenzitetu mjerenja. Jedno inventarizacijsko mjerenje provodi se jednom u pola godine jer je bučno, a ponovljeno mjerenje toga provodi se jednom tjedno.
Zbog učestalosti mjerenja, podaci u izvješćima obično nisu stariji od tjedan dana. Ako je to slučaj, onda se događa nešto neobično. Još uvijek radimo na funkcionalnosti da se mjerenja starija od dva mjeseca nikada ne pojavljuju u izvješćima, te da se to trajanje skrati na najviše mjesec dana.
Uvijek se može vidjeti koliko je staro mjerenje u detaljnom izvješću. To se nalazi uz svako mjerenje na dnu mjerenja. Na primjer, na donjem primjeru možete vidjeti da je mjerenje isto već 22 dana i da je posljednje mjerenje provedeno prije 1 dana.
Osim toga, na svakoj karti može se vidjeti kvaliteta podataka karte. U tom pregledu može se vidjeti koja se mjerenja provode i koliko ih je ažurirano / zastarjelo. U ovom se pregledu mjerenja starija od 7 dana smatraju zastarjelima. To se također može vidjeti u donjem primjeru.
Kvaliteta podataka nalazi se ispod kružića u gornjem lijevom kutu karte. Ovaj kružić mijenja boju ovisno o kvaliteti. Ako je narančaste ili crvene boje, onda se nešto događa. Obično je zelene boje. Ako je sve ažurirano, ovdje se nalazi duga.
Roadmap mjerenja koja postaju stroža
S vremenom se provodi stroža kontrola. Na primjer, neki su nalazi sada još uvijek zeleni ili narančasti, ali će u budućnosti postati crveni.
Novo mjerenje često se uvodi kao narančasto ili zeleno kako bi se ljudi mogli naviknuti na njega i djelovati prije nego što postane crveno.
Roadmap toga još je fragmentiran i nije sastavljen. Prilikom uvođenja pojedinačnih mjerenja često se nešto kaže o tome. Te se informacije još prikupljaju.
Pregled svih mjerenja
Ovdje se nalazi pregled svih mjerenja, ocjena, dokumentacije i alata za samostalno mjerenje. Kada se sve to ispravno primijeni, organizacija se stavlja na zeleno na karti.
Kada organizacija prati svoju online uslugu i radi na njezinoj minimalizaciji, nije preteško doći na narančasto ili čak zeleno.
Sigurna domena (DNSSEC)
- Cilj: Pružiti sigurnost u vezi s domenom i sadržajem web-mjesta
- Najteža ocjena: Crveno
- Mjereno s: alatom dnssec.pl
- Dokumentacija: internet.nl, OpenCRE, Wikipedia
- Za mjerenje na: Zonemaster, internet.nl, verisign labs, DNS Visualizer
Meer documentatie
# level: url
dnssecTLS na web-mjestu (HTTPS)
- Cilj: Primjena šifriranja: da je posjet web-mjestu povjerljiv i cjelovit. Provjeriti je li povjerenje u redu i postoje li ranjivosti u šifriranju.
- Najteža ocjena:Crveno
- Mjereno s: Qualys SSL Labs
- Dokumentacija: TLS postavke, Wikipedia, Zakon o digitalnoj vladi
- Za mjerenje na: SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedWeb-mjesto bez šifriranja (HTTPS)
- Cilj: Primjena šifriranja, isto kao i TLS na web-mjestu
- Najteža ocjena:Crveno
- Mjereno s: Vlastiti skener
- Dokumentacija: TLS postavke, Wikipedia, Zakon o digitalnoj vladi
- Za mjerenje na: SSL Labs, internet.nl
Meer documentatie
# level: endpoint
plain_httpPrijenos datoteka (FTP)
- Cilj: Primjena šifriranja
- Najteža ocjena:Crveno
- Mjereno s: Vlastiti skener
- Dokumentacija: Wikipedia
- Za mjerenje na: ftptest.net
Meer documentatie
# level: endpoint
ftpInformacije o verziji softvera (Banneri)
- Cilj: uklanjanje informacija o verziji jer je to korisno samo za napadače
- Najteža ocjena:Crveno
- Mjereno s: nmap
- Dokumentacija: Wikipedia, nmap
- Za mjerenje na: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)Sigurnost e-pošte (STARTTLS, DMARC, DKIM, SPF)
- Cilj: Osigurati integritet i povjerljivost e-pošte
- Najteža ocjena:Crveno
- Mjereno s: internet.nl
- Dokumentacija: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
- Za mjerenje na: internet.nl, dmarcian, mxtoolbox
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Portali za prijavu
- Cilj: Ne nuditi globalnu i javnu funkcionalnost koja je namijenjena maloj skupini ljudi, posebno za zaštitu funkcionalnosti administratora.
- Najteža ocjena: Crveno
- Mjereno s: Nuclei
- Dokumentacija: Wikpedia
- Za mjerenje na: pogledajte poveznice u nalazima. Postoji li ovdje portal za prijavu? Tada je nalaz još uvijek valjan. Ovi se portali nalaze na posebnoj stranici pod nazivom Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Kolačić za praćenje bez dopuštenja
- Cilj: Kolačići za praćenje nikada se ne smiju postavljati bez dopuštenja. Uvidom u to, graditelji web-mjesta mogu ukloniti te kolačiće.
- Najteža ocjena: Narančasto, Crveno od siječnja 2024.
- Mjereno s: Vlastiti skener na temelju Playwrighta
- Dokumentacija: tbd
- Za mjerenje na: tbd
Pregled izmjerenih kolačića za praćenje
Mjerimo donje kolačiće za praćenje. To su kolačići za praćenje za koje dobavljač navodi da se postavljaju u marketinške svrhe. Ovi su kolačići za praćenje daleko najčešće postavljeni kolačići za praćenje prema našem istraživanju iz studenog 2023.
| Kolačić | Dobavljač | Dokumentacija prema dobavljaču |
| _fbp | ClickID | |
| _gcl_aw | Google Ads | Safety.Google |
| __gpi | Google Ads | Safety.Google |
| _gcl_au | Google Ads | Safety.Google |
| NID | Google Ads | Safety.Google |
| IDE | Google Ads | Safety.Google |
| VISITOR_INFO1_LIVE | Google YouTube | Safety.Google |
| li_sugr | Cookie Table | |
| UserMatchHistory | Cookie Table | |
| _ttp | TikTok | Cookies Policy |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentVlasnik internetske adrese (WHOIS)
- Cilj: Urediti administraciju domene. Vanjski suradnik može provjeriti je li web-mjesto ispravne organizacije u SIDN-u.
- Najteža ocjena: Narančasto
- Mjereno s: Vlastiti skener
- Dokumentacija: SIDN, Wikipedia, OpenCRE
- Za mjerenje na: SIDN
Meer documentatie
# level: url
whois_domain_ownershipSigurna veza prema zahtjevima NCSC-NL (TLS)
- Cilj: Primjena šifriranja, mjerenje zakonskih zahtjeva
- Najteža ocjena:Narančasto
- Mjereno s: internet.nl
- Dokumentacija: Zakon, Objašnjenje zakona, Tehnički zahtjevi
- Za mjerenje na: internet.nl
Meer documentatie
# level: endpoint
internet_nl_web_tlsSecurity.txt
- Cilj: Mogućnost primanja obavijesti o ozbiljnim online ranjivostima.
- Najteža ocjena:Narančasto
- Mjereno s: internet.nl
- Dokumentacija: internet.nl, Wikipedia, securitytxt.org
- Za mjerenje na: internet.nl
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtPovjerenje u usmjeravanje internetskog prometa (RPKI)
- Cilj: Sigurnost da internetski promet ide pravim putem
- Najteža ocjena:Narančasto
- Mjereno s: internet.nl
- Dokumentacija: Wikipedia
- Za mjerenje na: internet.nl, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsHSTS header
- Cilj: Nametanje šifriranja na web-mjestima sve dok preglednici to ne učine
- Najteža ocjena:Narančasto
- Mjereno s: Vlastiti skener
- Dokumentacija: MDN, Wikipedia, Zakon o digitalnoj vladi
- Za mjerenje na: securityheaders.com, internet.nl
- Napomena: includesubdomains i preload se zanemaruju, u slučaju da preload nije ažuriran i posjetitelj sleti na poddomenu bez HSTS headera.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityPosjet web-mjestu poštuje privatnost
- Cilj: Povjerljivost posjeta, da se na vas ne usmjeravaju oglasi nakon posjeta
- Najteža ocjena:Narančasto
- Mjereno s: Vlastiti skener
- Dokumentacija: Knjižica o izgradnji web-mjesta svjesnih privatnosti, Disconnect.me, Zabrana Google Analyticsa
- Za mjerenje na: Webkoll, Privacyscore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingSuvišna usluga (otvoreni portovi)
- Cilj: Minimiziranje online usluge. Javno internet treba sadržavati samo usluge koje bi trebale biti dostupne svima diljem svijeta.
- Najteža ocjena:Narančasto
- Mjereno s: Nmap
- Dokumentacija: Wikipedia (otvoreni portovi)
- Za mjerenje na: ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS Prisutnost (e-pošta)
- Cilj: mogućnost slanja šifrirane e-pošte na poslužitelj pošte kao pošiljatelj.
- Najteža ocjena:Narančasto
- Mjereno s: internet.nl
- Dokumentacija: internet.nl
- Za mjerenje na: internet.nl
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableŠifriranje e-pošte prema zahtjevima NCSC-a
- Cilj: mogućnost slanja šifrirane e-pošte na poslužitelj pošte kao pošiljatelj.
- Najteža ocjena:Narančasto
- Mjereno s: internet.nl
- Dokumentacija: internet.nl
- Za mjerenje na: internet.nl
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsLokacija poslužitelja (IP Geolokacija)
- Cilj: Obrada podataka u NL/EU, mjerenje zakonskih zahtjeva. Osigurati da su sve usluge na vlastitom (pravnom) teritoriju.
- Najteža ocjena:Zeleno (tijekom uvodnog razdoblja),Narančasto nakon listopada 2023.
- Mjereno s: Maxmind, Ripe (za neke ispravke)
- Dokumentacija: Zakon o zabrani obrade podataka izvan EU (Matomo)
- Za mjerenje na: InfoByIP, geolocation.com, iplocation.io (nemaju sve ove stranice istu bazu podataka geolokacije)
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentOstali headeri web-mjesta (X-Frame-Options itd.)
- Cilj: Sigurne postavke prilikom posjeta web-mjestu
- Najteža ocjena:Narančasto (nema CSP I x-frame-options),Zeleno (ostalo)
- Mjereno s: Vlastiti skener
- Dokumentacija: Općenito (OWASP), CSP header, Permissions Policy, Referrer Policy, X-Content-Type-Options, Clickjacking,
- Za mjerenje na: securityheaders.com, internet.nl
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)