Polityka pomiarów Basic security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security mierzy i publikuje wszystkie pomiary dotyczące bezpieczeństwa online, które są odpowiedzialne za publikację, więcej na ten temat w polityce publikacji. Korzystamy również z rozważań zawartych w naszym kodeksie postępowania, aby określić, które pomiary są dodawane.

W tym artykule wymieniono, które pomiary są wykonywane przy użyciu poszczególnych technik. Ich pełna lista wraz z odnośnikami znajduje się pod nagłówkiem „przegląd wszystkich pomiarów”.

Niniejsza polityka pomiarowa stale ewoluuje i reaguje na nowe wydarzenia. Istnieje szereg wyjątków od tej polityki pomiarowej; są one opisane w wyjątkach od polityki pomiarowej.

Przed użyciem danych pomiarowych należy zapoznać się z naszym zastrzeżeniem. W razie jakichkolwiek pytań prosimy o kontakt pod adresem info@internetcleanup.foundation.

Artykuł ten stwierdza:

• Informacje na temat terminowości pomiarów
• W jaki sposób pomiary są oceniane bardziej rygorystycznie w czasie (mapa drogowa)?
• Przegląd wszystkich indywidualnych pomiarów
  • Zawiera linki do dokumentacji i narzędzi testowych

Terminowość pomiarów

Pomiary są przeprowadzane codziennie lub co tydzień, w zależności od złożoności i intensywności pomiarów. Pojedynczy pomiar inwentaryzacyjny jest przeprowadzany raz na sześć miesięcy, ponieważ jest hałaśliwy, a powtórny pomiar odbywa się raz w tygodniu.

Ze względu na częstotliwość pomiarów, dane w raportach zwykle nigdy nie są starsze niż tydzień. Jeśli tak jest, dzieje się coś szczególnego. Wciąż pracujemy nad funkcjonalnością, która sprawi, że pomiary starsze niż dwa miesiące nigdy nie pojawią się w raportach i skróci ten czas do maksymalnie jednego miesiąca.

W raporcie szczegółowym zawsze można sprawdzić, ile lat ma dany pomiar. Jest ona wyświetlana na dole każdego pomiaru. W poniższym przykładzie widać, że pomiar jest taki sam od 22 dni, a ostatni pomiar miał miejsce 1 dzień temu.

Ponadto każda mapa pokazuje jakość danych. Ten przegląd pokazuje, które pomiary zostały wykonane i ile z nich jest aktualnych / nieaktualnych. W tym przeglądzie pomiary starsze niż 7 dni są uważane za nieaktualne. Można to również zobaczyć na poniższym przykładzie.

Jakość danych znajduje się pod kulą w lewym górnym rogu mapy. Kula ma kolor zależny od jakości. Jeśli jest pomarańczowa lub czerwona, coś jest nie tak. Zazwyczaj jest to zielona kropka. Jeśli wszystko jest aktualne, w tym miejscu znajduje się tęcza.

Mapa drogowa zaostrzania pomiarów

Z czasem monitorowanie będzie bardziej rygorystyczne. Na przykład niektóre ustalenia są obecnie zielone lub pomarańczowe, ale w przyszłości staną się czerwone.

Nowy odczyt jest często wprowadzany jako pomarańczowy lub zielony, aby ludzie mogli się do niego przyzwyczaić i działać, zanim zmieni kolor na czerwony.

Plan działania w tym zakresie jest nadal fragmentaryczny i nieustalony. Kiedy wprowadzane są indywidualne pomiary, często pojawia się o tym wzmianka. Informacje te są nadal gromadzone.

Przegląd wszystkich pomiarów

Oto przegląd wszystkich pomiarów, ocen, dokumentacji i narzędzi do samodzielnego pomiaru. Gdy wszystkie z nich są stosowane prawidłowo, organizacja staje się zielona na mapie.

Jeśli organizacja śledzi swoje usługi online i minimalizuje je, nie jest trudno uzyskać pomarańczowy lub nawet zielony kolor.

Bezpieczna nazwa domeny (DNSSEC)

• Cel: Zapewnienie pewności co do nazwy domeny i zawartości witryny.
• Najwyższa ocena: Czerwony
• Zmierzono za pomocą: narzędzia dnssec.pl
• Dokumentacja: internet.co.uk, OpenCRE, Wikipedia
• Możliwość sprawdzenia na: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS na stronie internetowej (HTTPS)

• Cel: Zastosowanie szyfrowania: aby wizyta na stronie internetowej była poufna i integralna. Sprawdzenie, czy zaufanie jest w porządku i czy nie ma luk w szyfrowaniu.
• Najwyższa ocena:Czerwony
• Mierzone za pomocą: Qualys SSL Labs
• Dokumentacja: Ustawienia TLS, Wikipedia, Ustawa o administracji cyfrowej
• Do zmierzenia na: SSL Labs

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Witryna bez szyfrowania (HTTPS)

• Cel: Zastosowanie szyfrowania, takie samo jak TLS na stronie internetowej.
• Najwyższa ocena:Czerwony
• Mierzone za pomocą: Własny skaner
• Dokumentacja: Ustawienia TLS, Wikipedia, Ustawa o administracji cyfrowej
• Do zmierzenia na: SSL Labs, internet.co.uk

# level: endpoint
plain_http

Transfer plików (FTP)

• Cel: zastosowanie szyfrowania
• Najwyższa ocena:Czerwony
• Mierzone za pomocą: Własny skaner
• Dokumentacja: Wikipedia
• Możliwość sprawdzenia np. na stronie: ftptest.net

# level: endpoint
ftp

Informacje o wersji oprogramowania (banery)

• Cel: usunięcie informacji o wersji, ponieważ są one przydatne tylko dla atakujących.
• Najwyższa ocena:Czerwony
• Zmierzono za pomocą: nmap
• Dokumentacja: Wikipedia, nmap
• Sprawdź pod kątem: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Bezpieczeństwo poczty elektronicznej (STARTTLS, DMARC, DKIM, SPF)

• Cel: Zapewnienie integralności i poufności poczty elektronicznej.
• Najwyższa ocena:Czerwony
• Zmierzone przez: internet.co.uk
• Dokumentacja: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Do sprawdzenia między innymi na: internet.co.uk, dmarcian, mxtoolbox

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Portale logowania

• Cel: Nie zapewniać globalnej i publicznej funkcjonalności przeznaczonej dla niewielkiej grupy osób, zwłaszcza w celu ochrony funkcjonalności administratora.
• Najwyższa ocena: Czerwony
• Mierzone za pomocą: Jądra
• Dokumentacja: Wikipedia
• Aby zmierzyć na o.a.: sprawdź linki w wynikach. Czy jest tu portal logowania? W takim razie ustalenie jest nadal ważne. Portale te znajdują się na specjalnej stronie o nazwie Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Śledzący plik cookie bez zgody

• Cel: Śledzące pliki cookie nigdy nie powinny być ustawiane bez pozwolenia. Zapewniając przejrzystość, twórcy witryn mogą usunąć te pliki cookie.
• Najwyższa ocena: Pomarańczowy, Czerwony od stycznia 2024 r.
• Mierzone za pomocą: Własny skaner obv Dramaturg
• Dokumentacja: nieokreślona
• Do zmierzenia w: tbd

Przegląd mierzonych herbatników śledzących

Poniżej mierzymy ciasteczka śledzące. Są to ciastka śledzące, które według dostawcy są umieszczane w celach marketingowych. Te ciastka śledzące są zdecydowanie najczęściej umieszczanymi ciastkami śledzącymi według naszej ankiety z listopada 2023 r.

# level: endpoint
web_privacy_cookie_products_no_consent

Właściciel adresu internetowego (WHOIS)

• Cel: Uporządkowanie administracji domeną. Osoba z zewnątrz może sprawdzić, czy witryna należy do właściwej organizacji w SIDN.
• Najwyższa ocena: Pomarańczowy
• Mierzone za pomocą: Własny skaner
• Dokumentacja: SIDN, Wikipedia, OpenCRE
• Możliwość sprawdzenia na: SIDN

# level: url
whois_domain_ownership

Bezpieczne połączenie zgodnie z wymaganiami NCSC-NL (TLS)

• Cel: Zastosowanie szyfrowania, pomiar wymogów prawnych
• Najwyższa ocena:Pomarańczowy
• Zmierzone przez: internet.co.uk
• Dokumentacja: Prawo, Interpretacja prawa, Wymagania techniczne
• Do zmierzenia na przykład: internet.co.uk

# level: endpoint
internet_nl_web_tls

Security.txt

• Cel: Możliwość otrzymywania powiadomień o poważnych lukach w zabezpieczeniach online.
• Najwyższa ocena:Pomarańczowy
• Zmierzone przez: internet.co.uk
• Dokumentacja: internet.co.uk, Wikipedia, securitytxt.org
• Do zmierzenia na przykład: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Zaufany routing ruchu internetowego (RPKI)

• Cel: Zapewnienie, że ruch internetowy przechodzi przez właściwą ścieżkę.
• Najwyższa ocena:Pomarańczowy
• Zmierzone przez: internet.co.uk
• Dokumentacja: Wikipedia
• Można sprawdzić na stronie: internet.co.uk, ripe

# level: endpoint
internet_nl_web_rpki_exists

Nagłówek HSTS

• Cel: Wymuszenie szyfrowania na stronach internetowych, dopóki przeglądarki tego nie robią.
• Najwyższa ocena:Pomarańczowy
• Mierzone za pomocą: Własny skaner
• Dokumentacja: MDN, Wikipedia, ustawa o administracji cyfrowej
• Do sprawdzenia między innymi na stronach: securityheaders.com, internet.co.uk
• Należy pamiętać, że includesubdomains i preload są ignorowane, w przypadku gdy preload nie zostanie zaktualizowany, a odwiedzający wyląduje na subdomenie bez nagłówka HSTS.

# level: endpoint
http_security_header_strict_transport_security

Wizyta na stronie odbywa się z poszanowaniem prywatności

• Cel: Poufność wizyty, brak reklam kierowanych do użytkownika po wizycie.
• Najwyższa ocena:Pomarańczowy
• Mierzone za pomocą: Własny skaner
• Dokumentacja: Broszura na temat tworzenia witryn świadomych prywatności, Disconnect.me, zakaz Google Analytics
• Do zmierzenia na: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Zbędne usługi (otwarte bramki)

• Cel: Minimalizacja usług online. Publiczny Internet musi zawierać tylko te usługi, które powinny być dostępne dla wszystkich na całym świecie.
• Najwyższa ocena:Pomarańczowy
• Zmierzone za pomocą: Nmap
• Dokumentacja: Wikipedia (otwarte bramy)
  • Sprawdź: ipvoid

# level: endpoint
ports

STARTTLS Obecność (e-mail)

• Cel: możliwość wysyłania zaszyfrowanych wiadomości e-mail do serwera pocztowego jako nadawca.
• Najwyższa ocena:Pomarańczowy
• Zmierzone przez: internet.co.uk
• Dokumentacja: internet.co.uk
  • Do zmierzenia na przykład: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

Szyfrowanie wiadomości e-mail zgodnie z wymogami NCSC

• Cel: możliwość wysyłania zaszyfrowanych wiadomości e-mail do serwera pocztowego jako nadawca.
• Najwyższa ocena:Pomarańczowy
• Zmierzone przez: internet.co.uk
• Dokumentacja: internet.co.uk
  • Do zmierzenia na przykład: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

Lokalizacja serwera (geolokalizacja IP)

• Cel: Przetwarzanie danych w NL/EU, pomiar wymogów prawnych. Upewnienie się, że wszystkie usługi działają na ich własnym (legalnym) terytorium.
• Najwyższa ocena:Zielony (w okresie wprowadzającym),Pomarańczowy po październiku 2023 r.
• Mierzone za pomocą: Maxmind, Ripe (dla niektórych poprawek)
• Dokumentacja: Ustawa zakazująca przetwarzania danych poza UE (Matomo)
• Możliwość sprawdzenia na: InfoByIP, geolocation.com, iplocation.io (nie wszystkie te witryny mają tę samą bazę danych geolokalizacji)

# level: url
location_server
location_mail_server
location_third_party_website_content

Inne nagłówki witryny (X-Frame-Options itp.)

• Cel: Bezpieczne ustawienia podczas odwiedzania strony internetowej
• Najwyższa ocena:Pomarańczowy (bez CSP i opcji x-frame),Zielony (reszta)
• Mierzone za pomocą: Własny skaner
• Dokumentacja: Ogólne (OWASP), Nagłówek CSP, Polityka uprawnień, Polityka odsyłaczy, X-Content-Type-Options, Clickjacking,
• Do sprawdzenia między innymi na stronach: securityheaders.com, internet.co.uk

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)