Retningslinjer for måling Basic security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security måler og publiserer alle målinger rundt sikkerhet på nett som det er forsvarlig å publisere, mer om det i publiseringspolicyen. Vi bruker også hensynene i våre etiske retningslinjer for å avgjøre hvilke målinger som skal legges til.

Denne artikkelen lister opp hvilke målinger som er gjort rundt hvilke teknikker. En fullstendig liste over disse, med referanser, finnes under overskriften «oversikt over alle målinger».

Denne målepolicyen er i stadig utvikling og tilpasses nye utviklingstrekk. Det finnes en rekke unntak fra denne målepolicyen; disse er beskrevet i unntakene fra målepolicyen.

Vennligst les vår ansvarsfraskrivelse før du bruker måledataene. Hvis du har spørsmål, kan du kontakte info@internetcleanup.foundation.

Det står i denne artikkelen:

Informasjon om aktualiteten til målingene
Hvordan målinger verdsettes strengere over tid (veikart)
En oversikt over alle individuelle målinger
- Inkluderer lenker til dokumentasjon og testverktøy

Rettidighet i målingene

Målingene utføres fra daglig til ukentlig, avhengig av kompleksiteten og intensiteten i målingene. En enkelt inventarmåling utføres én gang i halvåret fordi den er støyende, mens den gjentas én gang i uken.

På grunn av målefrekvensen er dataene i rapportene vanligvis aldri eldre enn en uke. Hvis de er det, er det noe spesielt som skjer. Vi jobber fortsatt med funksjonalitet som gjør at målinger som er eldre enn to måneder aldri vises i rapportene, og reduserer denne varigheten til maksimalt én måned.

Du kan alltid se hvor gammel en måling er i detaljrapporten. Dette vises nederst på hver måling. I eksempelet nedenfor kan du se at målingen har vært den samme i 22 dager, og at den siste målingen fant sted for 1 dag siden.

Siste avlesning fra 2 dager siden, dette er nederst i bildet.

I tillegg viser hvert kart kartets datakvalitet. Oversikten viser hvilke målinger som er tatt, og hvor mange av dem som er oppdaterte/utdaterte. I denne oversikten anses målinger som er eldre enn 7 dager som foreldet. Dette kan også sees i eksempelet nedenfor.

Datakvaliteten vises under kulen øverst i venstre hjørne av kartet. Denne kulen skifter farge avhengig av kvaliteten. Hvis den er oransje eller rød, er det noe galt. Vanligvis er den på en grønn prikk. Hvis alt er oppdatert, er det en regnbue her.

Her kan du se hvilke målinger som er oppdatert og hvilke som ikke er det. Vanligvis er alt grønt her. Skjermbildet viser at kvaliteten var 90,29 %, med 11899 foreldede målinger. En bestemt skanner målte ikke, noe som forårsaket dette avviket.

Veikart for innstrammingsmålinger

Over tid vil det bli strengere overvåking. Noen funn er for eksempel grønne eller oransje i dag, men vil bli røde i fremtiden.

En ny avlesning introduseres ofte som oransje eller grønn, slik at folk kan venne seg til den og handle før den blir rød.

Veikartet for dette er fortsatt fragmentert og ikke etablert. Når enkeltmålinger introduseres, er det ofte en viss omtale av dette. Denne informasjonen er fortsatt under innsamling.

Oversikt over alle målinger

Her er en oversikt over alle målinger, vurderinger, dokumentasjon og verktøy for å måle seg selv. Når alle disse brukes riktig, blir organisasjonen satt i grønt lys på kartet.

Hvis en organisasjon har oversikt over nettjenestene sine og minimerer dem, er det ikke så vanskelig å komme opp i oransje eller til og med grønt.

Sikre domenenavn (DNSSEC)

Formål: Å gi sikkerhet om domenenavnet og innholdet på nettstedet
Tyngste vurdering: Rød
Målt med: dnssec.pl-verktøyet
Dokumentasjon: internet.co.uk, OpenCRE, Wikipedia
Kan sjekkes på: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

Meer documentatie

# level: url
dnssec

TLS på nettstedet (HTTPS)

Mål: Bruke kryptering: at et besøk på et nettsted er konfidensielt og med integritet. Kontroller at tilliten er i orden og at det ikke finnes sårbarheter i krypteringen.
Tyngste vurdering:Rød
Målt med: Qualys SSL Labs
Dokumentasjon: TLS-innstillinger, Wikipedia, Digital Government Act
Skal måles på: SSL Labs

Meer documentatie

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Nettsted uten kryptering (HTTPS)

Formål: Bruk av kryptering, det samme som TLS på nettstedet
Tyngste vurdering:Rød
Målt med: Egen skanner
Dokumentasjon: TLS-innstillinger, Wikipedia, Digital Government Act
Skal måles på: SSL Labs, internet.co.uk

Meer documentatie

# level: endpoint
plain_http

Filoverføring (FTP)

Formål: anvendelse av kryptering
Tyngste vurdering:Rød
Målt med: Egen skanner
Dokumentasjon: Wikipedia
Kan sjekkes på f.eks. ftptest.net

Meer documentatie

# level: endpoint
ftp

Informasjon om programvareversjon (bannere)

Mål: Fjern versjonsinformasjon fordi den bare er nyttig for angripere
Tyngste vurdering:Rød
Målt med: nmap
Dokumentasjon: Wikipedia, nmap
Se etter: ipvoid

Meer documentatie

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-postsikkerhet (STARTTLS, DMARC, DKIM, SPF)

Formål: Sikre e-postens integritet og konfidensialitet
Tyngste vurdering:Rød
Målt av: internet.co.uk
Dokumentasjon: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
Kan sjekkes på: internet.co.uk, dmarcian, mxtoolbox, blant andre

Meer documentatie

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Innloggingsportaler

Formål: Ikke å tilby global og offentlig funksjonalitet beregnet på en liten gruppe mennesker, spesielt for å skjerme administratorfunksjonalitet.
Tyngste vurdering: Rød
Målt med: Kjerner
Dokumentasjon: Wikipedia
For å bli målt på bl.a.: sjekk lenkene i funnene. Finnes det en påloggingsportal her? Da er funnet fortsatt gyldig. Disse portalene ligger på en spesiell side som heter Login Plaza.

Meer documentatie

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Sporing av informasjonskapsler uten samtykke

Formål: Informasjonskapsler for sporing bør aldri plasseres uten tillatelse. Ved å gjøre dette gjennomsiktig, kan nettstedbyggere fjerne disse informasjonskapslene.
Tyngste vurdering: Oransje, rød fra januar 2024.
Målt med: Egen skanner obv Dramatiker
Dokumentasjon: tbd
Skal måles på: tbd

Oversikt over målte sporingskjeks

Vi måler sporingskjeksene nedenfor. Dette er følgekjeks som leverandøren oppgir at er plassert ut i markedsføringsøyemed. Disse følgerkjeksene er de klart hyppigst plasserte følgerkjeksene ifølge vår undersøkelse fra november 2023.

Kjeks	Leverandør	Dokumentasjon i henhold til leverandør
_fbp	Facebook	ClickID
_gcl_aw	Google-annonser	Sikkerhet.Google
__gpi	Google-annonser	Sikkerhet.Google
_gcl_au	Google-annonser	Sikkerhet.Google
NID	Google-annonser	Sikkerhet.Google
IDE	Google-annonser	Sikkerhet.Google
VISITOR_INFO1_LIVE	Google YouTube	Sikkerhet.Google
li_sugr	LinkedIn	Tabell med informasjonskapsler
UserMatchHistorikk	LinkedIn	Tabell med informasjonskapsler
_ttp	TikTok	Retningslinjer for informasjonskapsler

Meer documentatie

# level: endpoint
web_privacy_cookie_products_no_consent

Eier av internettadressen (WHOIS)

Formål: Å få orden på administrasjonen av domenet. En utenforstående kan kontrollere at nettstedet tilhører riktig organisasjon hos SIDN.
Tyngste vurdering: Oransje
Målt med: Egen skanner
Dokumentasjon: SIDN, Wikipedia, OpenCRE
Kan sjekkes på: SIDN

Meer documentatie

# level: url
whois_domain_ownership

Sikker tilkobling i henhold til NCSC-NL-krav (TLS)

Formål: Anvendelse av kryptering, måling av juridiske krav
Tyngste vurdering:Oransje
Målt av: internet.co.uk
Dokumentasjon: Lov, Lovfortolkning, Tekniske krav
Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_web_tls

Sikkerhet.txt

Formål: Å kunne motta varsler om alvorlige sårbarheter på nettet.
Tyngste vurdering:Oransje
Målt av: internet.co.uk
Dokumentasjon: internet.co.uk, Wikipedia, securitytxt.org
Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Sikker ruting av internettrafikk (RPKI)

Mål: Sikre at internettrafikken går den riktige veien
Tyngste vurdering:Oransje
Målt av: internet.co.uk
Dokumentasjon: Wikipedia
Kan sjekkes på: internet.co.uk, ripe

Meer documentatie

# level: endpoint
internet_nl_web_rpki_exists

HSTS-overskrift

Formål: Fremtvinge kryptering på nettsteder så lenge nettlesere ikke gjør det
Tyngste vurdering:Oransje
Målt med: Egen skanner
Dokumentasjon: MDN, Wikipedia, Lov om digital forvaltning
Kan sjekkes på: securityheaders.com, internet.co.uk, blant andre
Merk at includesubdomains og preload ignoreres, i tilfelle preload ikke oppdateres og en besøkende lander på et underdomene uten HSTS-overskrift.

Meer documentatie

# level: endpoint
http_security_header_strict_transport_security

Besøk på nettstedet respekterer personvernet

Formål: Konfidensialitet i forbindelse med et besøk, at ingen reklame rettes mot deg etter et besøk
Tyngste vurdering:Oransje
Målt med: Egen skanner
Dokumentasjon: Hefte om å bygge personvernbevisste nettsteder, Disconnect.me, forbud mot Google Analytics
Skal måles på: Webkoll, Privacycore.org

Meer documentatie

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Redundante tjenester (åpne porter)

Mål: Minimere nettbaserte tjenester. Det offentlige Internett skal kun inneholde tjenester som skal være tilgjengelige for alle i hele verden.
Tyngste vurdering:Oransje
Målt med: Nmap
Dokumentasjon: Wikipedia (åpne porter)
- Se etter: ipvoid

Meer documentatie

# level: endpoint
ports

STARTTLS Tilstedeværelse (e-post)

Formål: å kunne sende kryptert e-post til e-postserveren som avsender.
Tyngste vurdering:Oransje
Målt av: internet.co.uk
Dokumentasjon: internet.co.uk
- Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_starttls_tls_available

Kryptering av e-post i henhold til NCSC-krav

Formål: å kunne sende kryptert e-post til e-postserveren som avsender.
Tyngste vurdering:Oransje
Målt av: internet.co.uk
Dokumentasjon: internet.co.uk
- Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_dashboard_tls

Serverens plassering (IP Geolocation)

Formål: Behandling av data i NL/EU, måle juridiske krav. Sikre at alle tjenester befinner seg på sitt eget (lovlige) territorium.
Tyngste vurdering:Grønn (under introduksjonsperioden),Oransje etter oktober 2023
Målt med: Maxmind, Ripe (for noen korreksjoner)
Dokumentasjon: Lov om forbud mot databehandling utenfor EU (Matomo)
Kan sjekkes på: InfoByIP, geolocation.com, iplocation.io (ikke alle disse nettstedene har samme geolokaliseringsdatabase)

Meer documentatie

# level: url
location_server
location_mail_server
location_third_party_website_content

Andre overskrifter på nettstedet (X-Frame-Options osv.)

Formål: Sikre innstillinger når du besøker nettstedet
Tyngste vurdering:Oransje (ingen CSP OG x-frame-alternativer),grønn (resten)
Målt med: Egen skanner
Dokumentasjon: Generelt (OWASP), CSP-overskrift, Retningslinjer for tillatelser, Retningslinjer for henvisninger, X-Content-Type-Options, Clickjacking,
Kan sjekkes på: securityheaders.com, internet.co.uk, blant andre

Meer documentatie

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)