Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.„Basic Security” matuoja ir skelbia visus su interneto saugumu susijusius matavimus, kuriuos yra atsakinga skelbti, daugiau apie tai – skelbimo politikoje. Be to, nustatydami, kurie matavimai pridedami, remiamės mūsų elgesio kodekse pateiktais argumentais.
Šiame straipsnyje išvardyta, kokie matavimai atliekami naudojant tam tikrus metodus. Išsamus jų sąrašas su nuorodomis pateikiamas po antrašte „Visų matavimų apžvalga”.
Ši matavimo politika nuolat tobulinama ir reaguoja į naujus pokyčius. Šiai vertinimo politikai taikomos kelios išimtys; jos aprašytos vertinimo politikos išimtyse.
Prieš naudodamiesi matavimo duomenimis, perskaitykite mūsų atsakomybės apribojimą. Jei turite klausimų, kreipkitės adresu info@internetcleanup.foundation.
Šiame straipsnyje teigiama:
- Informacija apie matavimų savalaikiškumą
- Kaip laikui bėgant griežčiau vertinti matavimus (veiksmų planas)
- Visų atskirų matavimų apžvalga
- Pateikiamos nuorodos į dokumentaciją ir bandymų įrankius
Matavimų savalaikiškumas
Matavimai atliekami nuo vienos dienos iki vienos savaitės, tai priklauso nuo matavimų sudėtingumo ir intensyvumo. Vienkartinis inventoriaus matavimas atliekamas kartą per šešis mėnesius, nes jis yra triukšmingas, pakartotinis matavimas iš tiesų vyksta kartą per savaitę.
Dėl matavimo dažnumo ataskaitose pateikiami duomenys paprastai niekada nebūna senesni nei savaitė. Jei taip yra, vadinasi, vyksta kažkas ypatingo. Vis dar dirbame prie funkcionalumo, kad ataskaitose niekada nebūtų rodomi senesni nei dviejų mėnesių matavimai, ir sutrumpiname šią trukmę ne daugiau kaip iki vieno mėnesio.
Išsamioje ataskaitoje visada galite matyti, kiek metų matuojama. Tai rodoma kiekvieno matavimo apačioje. Taigi toliau pateiktame pavyzdyje matote, kad matavimas yra toks pat jau 22 dienas, o paskutinis matavimas atliktas prieš 1 dieną.
Be to, kiekviename žemėlapyje nurodoma žemėlapio duomenų kokybė. Šioje apžvalgoje rodoma, kokie matavimai atlikti ir kiek iš jų yra aktualūs / pasenę. Šioje apžvalgoje senesni nei 7 dienų matavimai laikomi pasenusiais. Tai matyti ir toliau pateiktame pavyzdyje.
Duomenų kokybė nurodyta po kulka viršutiniame kairiajame žemėlapio kampe. Šis rutuliukas nusidažo spalvomis, priklausomai nuo kokybės. Jei jis yra oranžinis arba raudonas, vadinasi, kažkas negerai. Paprastai jis būna ant žalio taško. Jei viskas atnaujinta, čia yra vaivorykštė.
Griežtesnių matavimų planas
Laikui bėgant bus vykdoma griežtesnė stebėsena. Pavyzdžiui, kai kurios išvados šiuo metu yra žalios arba oranžinės spalvos, tačiau ateityje jos taps raudonos.
Naujas rodmuo dažnai pristatomas kaip oranžinis arba žalias, kad žmonės galėtų prie jo priprasti ir imtis veiksmų, kol jis nevirto raudonu.
Šios veiklos planas vis dar yra fragmentiškas ir nenustatytas. Kai pristatomi atskiri matavimai, dažnai apie tai užsimenama. Ši informacija vis dar renkama.
Visų matavimų apžvalga
Čia apžvelgiami visi matavimai, vertinimai, dokumentacija ir priemonės, kuriomis galima save įvertinti. Kai visa tai taikoma teisingai, organizacija žemėlapyje įgauna žalią spalvą.
Jei organizacija stebi savo internetines paslaugas ir mažina jų kiekį, nesunku pasiekti oranžinę ar net žalią spalvą.
Saugus domeno vardas (DNSSEC)
- Paskirtis: suteikti tikrumą dėl domeno vardo ir svetainės turinio.
- Sunkiausias įvertinimas: Raudona
- Išmatuota naudojant: dnssec.pl įrankį
- Dokumentai: internet.co.uk, OpenCRE, Wikipedia
- Patikrinama: , internet.co.uk, verisign labs, DNS Visualizer
Meer documentatie
# level: url
dnssecTLS svetainėje (HTTPS)
- Tikslas: taikyti šifravimą: kad apsilankymas svetainėje būtų konfidencialus ir vientisas. Patikrinkite, ar pasitikėjimas yra tvarkingas ir ar nėra šifravimo spragų.
- Sunkiausias įvertinimas:Raudona
- Išmatuota su: „Qualys SSL Labs
- Dokumentai: TLS nustatymai, Vikipedija, Skaitmeninės valdžios įstatymas
- Bus matuojama: SSL laboratorijos
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedSvetainė be šifravimo (HTTPS)
- Paskirtis: šifravimo taikymas, toks pat kaip TLS svetainėje.
- Sunkiausias įvertinimas:Raudona
- Išmatuota su: Nuosavas skeneris
- Dokumentai: TLS nustatymai, Vikipedija, Skaitmeninės valdžios įstatymas
- Turi būti matuojama: SSL Labs, internet.co.uk
Meer documentatie
# level: endpoint
plain_httpFailų perdavimas (FTP)
- Tikslas: šifravimo taikymas
- Sunkiausias įvertinimas:Raudona
- Išmatuota su: Nuosavas skeneris
- Dokumentai: Vikipedija
- Galima patikrinti, pvz.: ftptest.net
Meer documentatie
# level: endpoint
ftpInformacija apie programinės įrangos versiją (baneriai)
- Tikslas: pašalinti informaciją apie versiją, nes ji naudinga tik įsilaužėliams.
- Sunkiausias įvertinimas:Raudona
- Išmatuota naudojant: nmap
- Dokumentai: Vikipedija, nmap
- Patikrinkite, ar: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)Elektroninio pašto saugumas (STARTTLS, DMARC, DKIM, SPF)
- Tikslas: užtikrinti el. pašto vientisumą ir konfidencialumą
- Sunkiausias įvertinimas:Raudona
- Išmatavo: internet.co.uk
- Dokumentai: Vikipedija (STARTTLS), Vikipedija (DKIM), Vikipedija (DMARC), Vikipedija (SPF)
- Galima patikrinti: internet.co.uk, dmarcian, mxtoolbox, be kita ko
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Prisijungimo portalai
- Tikslas: Nesuteikti visuotinių ir viešų funkcijų, skirtų nedidelei žmonių grupei, ypač siekiant apsaugoti administratoriaus funkcijas.
- Sunkiausias įvertinimas: Raudona
- Išmatuota su: Branduoliai
- Dokumentai: Vikipedija
- Matuojama pagal o.a.: patikrinkite išvadose pateiktas nuorodas. Ar čia yra prisijungimo portalas? Tuomet išvada vis dar galioja. Šie portalai yra specialiame puslapyje, pavadintame Prisijungimo aikštelė.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Sekimo slapukas be sutikimo
- Tikslas: sekimo slapukai niekada neturėtų būti nustatomi be leidimo. Tai pateikdami skaidriai, svetainių kūrėjai gali pašalinti šiuos slapukus.
- Sunkiausias įvertinimas: oranžinė spalva, Raudona nuo 2024 m. sausio mėn.
- Išmatuota su: Dramaturgas
- Dokumentacija: tbd
- Bus matuojama: tbd
Apžvalga išmatuoti sekimo sausainiai
Toliau matuojame sekimo sausainius. Tai sekimo sausainiai, kuriuos tiekėjas nurodo, kad jie dedami rinkodaros tikslais. Remiantis mūsų 2023 m. lapkričio mėn. apklausos duomenimis, šie sekimo sausainiai yra bene dažniausiai dedami sekimo sausainiai.
| Sausainiai | Tiekėjas | Dokumentai pagal tiekėją |
| _fbp | „Facebook” | ClickID |
| _gcl_aw | „Google” skelbimai | Sauga.Google |
| __gpi | „Google” skelbimai | Sauga.Google |
| _gcl_au | „Google” skelbimai | Sauga.Google |
| NID | „Google” skelbimai | Sauga.Google |
| IDE | „Google” skelbimai | Sauga.Google |
| VISITOR_INFO1_LIVE | „Google YouTube | Sauga.Google |
| li_sugr | Slapukų lentelė | |
| UserMatchHistory | Slapukų lentelė | |
| _ttp | TikTok | Slapukų politika |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentInterneto adreso savininkas (WHOIS)
- Tikslas: sutvarkyti domeno administravimą. Išorinis asmuo gali patikrinti, ar svetainė priklauso teisingai SIDN organizacijai.
- Sunkiausias įvertinimas: Oranžinė
- Išmatuota su: Nuosavas skeneris
- Dokumentai: SIDN, Vikipedija, OpenCRE
- Patikrinama: SIDN
Meer documentatie
# level: url
whois_domain_ownershipSaugus ryšys pagal NCSC-NL reikalavimus (TLS)
- Paskirtis: šifravimo taikymas, teisinių reikalavimų vertinimas
- Sunkiausias įvertinimas:Oranžinė
- Išmatavo: internet.co.uk
- Dokumentai: Teisė, Teisės aiškinimas, Techniniai reikalavimai
- Matuojama, pvz.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_web_tlsSecurity.txt
- Paskirtis: kad galėtumėte gauti pranešimus apie rimtus pažeidžiamumus internete.
- Sunkiausias įvertinimas:Oranžinė
- Išmatavo: internet.co.uk
- Dokumentai: internet.co.uk, Wikipedia, securitytxt.org
- Matuojama, pvz.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtPatikimas interneto srauto nukreipimas (RPKI)
- Tikslas: Užtikrinti, kad interneto srautas būtų perduodamas tinkamu keliu.
- Sunkiausias įvertinimas:Oranžinė
- Išmatavo: internet.co.uk
- Dokumentai: Vikipedija
- Galima patikrinti adresu: internet.co.uk, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsHSTS antraštė
- Tikslas: užtikrinti šifravimą svetainėse, kol to nedaro naršyklės.
- Sunkiausias įvertinimas:Oranžinė
- Išmatuota su: Nuosavas skeneris
- Dokumentai: MDN, Vikipedija, Skaitmeninės valdžios įstatymas
- Galima patikrinti: securityheaders.com, internet.co.uk ir kt.
- Atkreipkite dėmesį, kad ” includesubdomains” ir išankstinis įkėlimas ignoruojami, jei išankstinis įkėlimas neatnaujinamas ir lankytojas patenka į subdomeną be HSTS antraštės.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityApsilankymas svetainėje nepažeidžia privatumo
- Tikslas: apsilankymo konfidencialumas, kad po apsilankymo į jus nebūtų nukreipta jokia reklama.
- Sunkiausias įvertinimas:Oranžinė
- Išmatuota su: Nuosavas skeneris
- Dokumentai: privatumą užtikrinančių svetainių kūrimo bukletas, Disconnect.me, „Google Analytics” draudimas
- Bus matuojama: Webkoll, Privacycore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingPerteklinės paslaugos (atviri vartai)
- Tikslas: kuo labiau sumažinti internetinių paslaugų skaičių. Viešajame internete turi būti tik tos paslaugos, kurios turėtų būti prieinamos visiems pasaulio gyventojams.
- Sunkiausias įvertinimas:Oranžinė
- Išmatuota su: Nmap
- Dokumentai: Vikipedija (atviri vartai)
- Patikrinkite: ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS buvimas (el. paštas)
- Paskirtis: kad būtų galima siųsti užšifruotą el. laišką į pašto serverį kaip siuntėjui.
- Sunkiausias įvertinimas:Oranžinė
- Išmatavo: internet.co.uk
- Dokumentai: internet.co.uk
- Matuojama, pvz.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableEl. pašto šifravimas pagal NCSC reikalavimus
- Paskirtis: kad būtų galima siųsti užšifruotą el. laišką į pašto serverį kaip siuntėjui.
- Sunkiausias įvertinimas:Oranžinė
- Išmatavo: internet.co.uk
- Dokumentai: internet.co.uk
- Matuojama, pvz.: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsServerio vieta (IP geolokacija)
- Tikslas: Duomenų tvarkymas Nyderlanduose ir ES, teisinių reikalavimų matavimas. Užtikrinti, kad visos paslaugos būtų savo (teisinėje) teritorijoje.
- Sunkiausias įvertinimas:Žalioji (įvadiniu laikotarpiu),Oranžinė po 2023 m. spalio mėn.
- Išmatuota su: ” Maxmind”, ” Ripe” (kai kuriems pataisymams)
- Dokumentai: Įstatymas, draudžiantis tvarkyti duomenis už ES ribų (Matomo)
- Patikrinama: (ne visos šios svetainės turi tą pačią geolokacijos duomenų bazę).
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentKitos svetainės antraštės (X-Frame-Options ir kt.)
- Paskirtis: saugūs nustatymai lankantis svetainėje
- Sunkiausias įvertinimas:Oranžinė (nėra CSP IR x-frame parinkčių),Žalia (likusi dalis)
- Išmatuota su: Nuosavas skeneris
- Dokumentai: Dokumentacija: Bendra (OWASP), CSP antraštė, Leidimų politika, Nuorodų politika, X-Content-Type-Options, Clickjacking,
- Galima patikrinti: securityheaders.com, internet.co.uk ir kt.
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)