Politica di misurazione Sicurezza di base.it

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security misura e pubblica tutte le misurazioni relative alla sicurezza online che è responsabile pubblicare; per maggiori informazioni, consulta la politica di pubblicazione. Utilizziamo anche le considerazioni contenute nel nostro codice di condotta per determinare quali misure aggiungere.

Questo articolo elenca le misurazioni effettuate in base a quali tecniche. Un elenco completo di queste, con i relativi riferimenti, si trova sotto la voce “panoramica di tutte le misurazioni”.

Questa politica di misurazione è in continua evoluzione e risponde a nuovi sviluppi. Esistono alcune eccezioni a questa politica di misurazione, descritte nelle eccezioni alla politica di misurazione.

Prima di utilizzare i dati di misurazione, leggi il nostro disclaimer. Per qualsiasi domanda, contatta info@internetcleanup.foundation.

Questo articolo afferma che:

• Informazioni sulla tempestività delle misurazioni
• Come valutare le misurazioni in modo più rigoroso nel tempo (roadmap)
• Una panoramica di tutte le misure individuali
  • Include link alla documentazione e agli strumenti di test

Tempestività delle misurazioni

Le misurazioni vengono effettuate con cadenza giornaliera o settimanale, a seconda della complessità e dell’intensità delle misurazioni. La misurazione di un singolo inventario viene effettuata una volta ogni sei mesi perché è rumorosa; la ripetizione di questa misurazione avviene una volta alla settimana.

Data la frequenza delle misurazioni, i dati contenuti nei report di solito non sono mai più vecchi di una settimana. Se lo sono, allora c’è qualcosa di speciale. Stiamo ancora lavorando per far sì che le misurazioni più vecchie di due mesi non compaiano mai nei report e per ridurre questa durata a un mese al massimo.

Puoi sempre vedere quanto è vecchia una misurazione nel rapporto dettagliato. Questo viene mostrato in fondo a ogni misurazione. Nell’esempio qui sotto, puoi vedere che la misurazione è la stessa da 22 giorni e che l’ultima misurazione è stata effettuata 1 giorno fa.

Inoltre, ogni mappa mostra la qualità dei dati della mappa stessa. Questa panoramica mostra quali misurazioni sono state effettuate e quante di esse sono aggiornate o non aggiornate. In questa panoramica, le misurazioni più vecchie di 7 giorni sono considerate obsolete. Questo è visibile anche nell’esempio seguente.

La qualità dei dati si trova sotto il pallino nell’angolo in alto a sinistra della mappa. Questo pallino si colora a seconda della qualità. Se è arancione o rossa, c’è qualcosa che non va. Di solito si trova su un punto verde. Se tutto è aggiornato, qui c’è un arcobaleno.

Tabella di marcia delle misure di irrigidimento

Nel corso del tempo, il monitoraggio sarà più rigoroso. Ad esempio, alcuni risultati sono attualmente verdi o arancioni, ma in futuro diventeranno rossi.

Una nuova lettura viene spesso presentata come arancione o verde, in modo che le persone possano abituarsi e agire prima che diventi rossa.

La tabella di marcia è ancora frammentata e non è stata stabilita. Quando vengono introdotte le singole misure, spesso se ne parla. Queste informazioni sono ancora in fase di raccolta.

Panoramica di tutte le misure

Ecco una panoramica di tutte le misure, le valutazioni, la documentazione e gli strumenti per misurarsi. Quando tutte queste misure vengono applicate correttamente, l’organizzazione diventa verde sulla mappa.

Se un’organizzazione tiene sotto controllo i propri servizi online e li riduce al minimo, non è troppo difficile arrivare all’arancione o addirittura al verde.

Nome di dominio sicuro (DNSSEC)

• Scopo: fornire certezza sul nome del dominio e sul contenuto del sito.
• Valutazione più pesante: Rosso
• Misurato con: strumento dnssec.pl
• Documentazione: internet.co.uk, OpenCRE, Wikipedia
• Controllabile su: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS sul sito web (HTTPS)

• Obiettivo: applicare la crittografia per garantire la riservatezza e l’integrità di una visita a un sito web. Verifica che la fiducia sia in ordine e che non ci siano vulnerabilità nella crittografia.
• Valutazione più pesante:Rosso
• Misurato con: Laboratori Qualys SSL
• Documentazione: Impostazioni TLS, Wikipedia, Legge sul governo digitale
• Da misurare su: Laboratori SSL

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Sito senza crittografia (HTTPS)

• Scopo: Applicazione della crittografia, come il TLS sul sito web.
• Valutazione più pesante:Rosso
• Misurato con: Scanner proprio
• Documentazione: Impostazioni TLS, Wikipedia, Legge sul governo digitale
• Da misurare su: SSL Labs, internet.it

# level: endpoint
plain_http

Trasferimento di file (FTP)

• Scopo: applicazione della crittografia
• Valutazione più pesante:Rosso
• Misurato con: Scanner proprio
• Documentazione: Wikipedia
• Controllabile ad esempio su: ftptest.net

# level: endpoint
ftp

Informazioni sulla versione del software (banner)

• Obiettivo: rimuovere le informazioni sulla versione perché sono utili solo agli aggressori.
• Valutazione più pesante:Rosso
• Misurato con: nmap
• Documentazione: Wikipedia, nmap
• Controlla per: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Sicurezza della posta elettronica (STARTTLS, DMARC, DKIM, SPF)

• Scopo: garantire l’integrità e la riservatezza delle e-mail.
• Valutazione più pesante:Rosso
• Misurato da: internet.co.uk
• Documentazione: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Controlla: internet.co.uk, dmarcian, mxtoolbox, ecc.

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Portali di accesso

• Scopo: non fornire funzionalità globali e pubbliche destinate a un piccolo gruppo di persone, in particolare per schermare le funzionalità di amministratore.
• Valutazione più pesante: Rosso
• Misurato con: Nuclei
• Documentazione: Wikipedia
• Da misurare su o.a.: controlla i link nei risultati. C’è un portale di accesso qui? Allora il risultato è ancora valido. Questi portali si trovano in una pagina speciale chiamata Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Cookie di tracciamento senza consenso

• Scopo: I cookie di tracciamento non dovrebbero mai essere impostati senza autorizzazione. Rendendo trasparente questo aspetto, i costruttori di siti web possono rimuovere questi cookie.
• Valutazione più pesante: Arancione, Rosso da gennaio 2024.
• Misurato con: Scanner proprio obv Drammaturgo
• Documentazione: tbd
• Da misurare a: tbd

Panoramica dei biscotti traccianti misurati

Misuriamo i biscotti di tracciamento qui sotto. Si tratta di biscotti follower che il fornitore indica essere stati collocati per scopi di marketing. Questi biscotti follower sono di gran lunga i biscotti follower collocati più frequentemente secondo il nostro sondaggio del novembre 2023.

# level: endpoint
web_privacy_cookie_products_no_consent

Proprietario dell’indirizzo internet (WHOIS)

• Scopo: mettere in ordine l’amministrazione del dominio. Un estraneo può verificare che il sito appartenga alla giusta organizzazione del SIDN.
• Valutazione più pesante: Arancione
• Misurato con: Scanner proprio
• Documentazione: SIDN, Wikipedia, OpenCRE
• Controllabile su: SIDN

# level: url
whois_domain_ownership

Connessione sicura secondo i requisiti NCSC-NL (TLS)

• Scopo: Applicazione della crittografia, misurazione dei requisiti legali
• Valutazione più pesante:Arancione
• Misurato da: internet.co.uk
• Documentazione: Legge, Interpretazione della legge, Requisiti tecnici
• Da misurare ad es. su: internet.co.uk

# level: endpoint
internet_nl_web_tls

Sicurezza.txt

• Scopo: ricevere notifiche su gravi vulnerabilità online.
• Valutazione più pesante:Arancione
• Misurato da: internet.co.uk
• Documentazione: internet.co.uk, Wikipedia, securitytxt.org
• Da misurare ad es. su: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Instradamento affidabile del traffico internet (RPKI)

• Obiettivo: garantire che il traffico internet passi attraverso il percorso giusto
• Valutazione più pesante:Arancione
• Misurato da: internet.co.uk
• Documentazione: Wikipedia
• Controlla su: internet.co.uk, ripe

# level: endpoint
internet_nl_web_rpki_exists

Intestazione HSTS

• Scopo: imporre la crittografia sui siti web finché i browser non lo fanno
• Valutazione più pesante:Arancione
• Misurato con: Scanner proprio
• Documentazione: MDN, Wikipedia, Legge sull’amministrazione digitale
• Controlla i siti: securityheaders.com, internet.co.uk, ecc.
• Nota che includeubdomains e preload viene ignorato, nel caso in cui il preload non venga aggiornato e un visitatore arrivi su un sottodominio senza intestazione HSTS.

# level: endpoint
http_security_header_strict_transport_security

La visita al sito web rispetta la privacy

• Scopo: Riservatezza della visita, in modo che nessuna pubblicità sia rivolta all’utente dopo la visita.
• Valutazione più pesante:Arancione
• Misurato con: Scanner proprio
• Documentazione: Manuale per la creazione di siti attenti alla privacy, Disconnect.me, divieto di Google Analytics
• Da misurare su: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Servizi ridondanti (cancelli aperti)

• Obiettivo: ridurre al minimo i servizi online. L’internet pubblico deve contenere solo i servizi che devono essere disponibili a tutti in tutto il mondo.
• Valutazione più pesante:Arancione
• Misurato con: Nmap
• Documentazione: Wikipedia (cancelli aperti)
  • Controlla: ipvoid

# level: endpoint
ports

Presenza STARTTLS (e-mail)

• Scopo: poter inviare e-mail criptate al server di posta come mittente.
• Valutazione più pesante:Arancione
• Misurato da: internet.co.uk
• Documentazione: internet.co.uk
  • Da misurare ad es. su: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

Crittografia delle e-mail secondo i requisiti NCSC

• Scopo: poter inviare e-mail criptate al server di posta come mittente.
• Valutazione più pesante:Arancione
• Misurato da: internet.co.uk
• Documentazione: internet.co.uk
  • Da misurare ad es. su: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

Posizione del server (geolocalizzazione IP)

• Scopo: Elaborare i dati in NL/EU, misurare i requisiti legali. Assicurarsi che tutti i servizi siano nel proprio territorio (legale).
• Valutazione più pesante:Verde (durante il periodo introduttivo),Arancione dopo ottobre 2023
• Misurato con: Maxmind, Ripe (per alcune correzioni)
• Documentazione: Legge che vieta il trattamento dei dati al di fuori dell’UE (Matomo)
• Controllabile su: InfoByIP, geolocation.com, iplocation.io (non tutti questi siti hanno lo stesso database di geolocalizzazione)

# level: url
location_server
location_mail_server
location_third_party_website_content

Altre intestazioni del sito web (X-Frame-Options, ecc.)

• Scopo: Impostazioni sicure quando si visita un sito web
• Valutazione più pesante:Arancione (senza CSP e opzioni x-frame),Verde (resto)
• Misurato con: Scanner proprio
• Documentazione: Generale (OWASP), Intestazione CSP, Politica dei permessi, Politica dei referrer, X-Content-Type-Options, Clickjacking,
• Controlla i siti: securityheaders.com, internet.co.uk, ecc.

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)