Politika merjenja Osnovni security.co.uk - Internet Cleanup Foundation

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security meri in objavlja vse ukrepe v zvezi s spletno varnostjo, ki so odgovorni za objavo, več o tem pa v pravilniku o objavi. Pri določanju dodanih meritev uporabljamo tudi premisleke iz našega kodeksa ravnanja.

V tem članku je navedeno, katere meritve se opravljajo s posameznimi tehnikami. Celoten seznam teh meritev z referencami je pod naslovom “pregled vseh meritev”.

Ta politika merjenja se nenehno razvija in se odziva na novosti. Pri tej politiki merjenja obstajajo številne izjeme, ki so opisane v poglavju o izjemah pri politiki merjenja.

Pred uporabo podatkov o meritvah preberite našo izjavo o omejitvi odgovornosti. Če imate kakršna koli vprašanja, se obrnite na info@internetcleanup.foundation.

V tem članku je navedeno:

Informacije o pravočasnosti meritev
Kako se meritve sčasoma strožje vrednotijo (časovni načrt)
Pregled vseh posameznih meritev
- Vključuje povezave do dokumentacije in testnih orodij

Pravočasnost meritev

Meritve se izvajajo dnevno do tedensko, kar je odvisno od zahtevnosti in intenzivnosti meritev. Posamezna inventurna meritev se izvede enkrat na šest mesecev, ker je hrupna, ponovitev te meritve pa se izvede enkrat na teden.

Zaradi pogostosti meritev podatki v poročilih običajno niso starejši od enega tedna. Če je tako, se dogaja nekaj posebnega. Še vedno delamo na funkcionalnosti, da se meritve, starejše od dveh mesecev, nikoli ne pojavijo v poročilih, in to trajanje skrajšamo na največ en mesec.

V podrobnem poročilu lahko vedno preverite, koliko let je meritev stara. To je prikazano na dnu vsake meritve. Tako lahko v spodnjem primeru vidite, da je meritev enaka že 22 dni in da je bila zadnja meritev opravljena pred enim dnem.

Zadnje branje izpred 2 dni, to je na dnu slike.

Poleg tega je na vsakem zemljevidu prikazana kakovost podatkov na zemljevidu. Ta pregled prikazuje, katere meritve so bile opravljene in koliko od njih je posodobljenih / zastarelih. V tem pregledu se meritve, ki so starejše od 7 dni, štejejo za zastarele. To je razvidno tudi iz spodnjega primera.

Kakovost podatkov je pod kroglico v zgornjem levem kotu zemljevida. Ta kroglica se obarva glede na kakovost. Če je oranžna ali rdeča, je nekaj narobe. Običajno je na zeleni piki. Če je vse posodobljeno, je tu mavrica.

Tukaj lahko vidite, katere meritve so bile posodobljene in katere ne. Običajno je tu vse zelene barve. Slika zaslona prikazuje, da je bila kakovost 90,29-odstotna, s 11899 zastarelimi meritvami. Določen optični bralnik ni opravil meritev, kar je povzročilo to odstopanje.

Načrt poostrenih meritev

Sčasoma bo nadzor strožji. Nekatere ugotovitve so na primer trenutno zelene ali oranžne, vendar bodo v prihodnosti postale rdeče.

Novo branje je pogosto predstavljeno kot oranžno ali zeleno, da se ljudje lahko navadijo nanj in ukrepajo, preden se spremeni v rdeče.

Načrt za to je še vedno razdrobljen in ni določen. Pri uvedbi posameznih meritev je to pogosto omenjeno. Te informacije se še vedno zbirajo.

Pregled vseh meritev

Tukaj je pregled vseh meritev, ocen, dokumentacije in orodij za merjenje. Ko se vse to pravilno uporabi, se organizacija postavi na zeleno luč.

Če organizacija spremlja svoje spletne storitve in jih zmanjšuje, ni težko doseči oranžne ali celo zelene barve.

Varno domensko ime (DNSSEC)

Namen: Zagotavljanje gotovosti glede imena domene in vsebine spletnega mesta.
Najtežja ocena: Rdeča
Izmerjeno z: orodjem dnssec.pl
Dokumentacija: internet.co.uk, OpenCRE, Wikipedia
Preverljivo na: uk, verisign labs, DNS Visualizer

Meer documentatie

# level: url
dnssec

TLS na spletnem mestu (HTTPS)

Cilj: Uporaba šifriranja: obisk spletnega mesta je zaupen in celovit. Preverite, ali je zaupanje v redu in ali v šifriranju ni ranljivosti.
Najtežja ocena:Rdeča
Izmerjeno z: Qualys SSL Labs
Dokumentacija: Nastavitve TLS, Wikipedija, Zakon o digitalni vladi
Izmeri se na: SSL Labs

Meer documentatie

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Spletno mesto brez šifriranja (HTTPS)

Namen: uporaba šifriranja, enako kot TLS na spletnem mestu
Najtežja ocena:Rdeča
Izmerjeno z: Lasten skener
Dokumentacija: Nastavitve TLS, Wikipedija, Zakon o digitalni vladi
Izmeri se na: SSL Labs, internet.co.uk

Meer documentatie

# level: endpoint
plain_http

Prenos datotek (FTP)

Namen: uporaba šifriranja
Najtežja ocena:Rdeča
Izmerjeno z: Lasten skener
Dokumentacija: Wikipedija
Preverljivo na npr.: ftptest.net

Meer documentatie

# level: endpoint
ftp

Informacije o različici programske opreme (transparenti)

Cilj: odstranitev informacij o različici, saj so te koristne le za napadalce.
Najtežja ocena:Rdeča
Izmerjeno z: nmap
Dokumentacija: Wikipedija, nmap
Preverite za: ipvoid

Meer documentatie

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

Varnost e-pošte (STARTTLS, DMARC, DKIM, SPF)

Namen: Zagotavljanje celovitosti in zaupnosti e-pošte
Najtežja ocena:Rdeča
Izmeril: internet.co.uk
Dokumentacija: Wikipedija (STARTTLS), Wikipedija (DKIM), Wikipedija (DMARC), Wikipedija (SPF)
Preverljivo na: internet.co.uk, dmarcian, mxtoolbox, med drugim

Meer documentatie

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Portali za prijavo

Namen: Ne zagotavljati globalnih in javnih funkcionalnosti, namenjenih majhni skupini ljudi, zlasti ne funkcionalnosti skrbnika.
Najtežja ocena: Rdeča
Izmerjeno z: Jedra
Dokumentacija: Wikipedija
Izmeri se na o.a.: preverite povezave v ugotovitvah. Ali obstaja portal za prijavo? Potem je ugotovitev še vedno veljavna. Ti portali se nahajajo na posebni strani, ki se imenuje Login Plaza.

Meer documentatie

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Piškotki za sledenje brez privolitve

Namen: Piškotki za sledenje se nikoli ne smejo nastaviti brez dovoljenja. Če je to pregledno, lahko graditelji spletnih mest te piškotke odstranijo.
Najtežja ocena: oranžna, Rdeča od januarja 2024.
Izmerjeno z: Lastni skener obv Dramaturg
Dokumentacija: še ni znana
Izmeri se pri: tbd

Pregled izmerjenih piškotov za sledenje

Piškote za sledenje izmerimo spodaj. To so sledilni piškotki, za katere dobavitelj navaja, da so nameščeni za namene trženja. Ti sledilni piškoti so glede na našo raziskavo iz novembra 2023 daleč najpogosteje nameščeni sledilni piškoti.

Piškoti	Dobavitelj	Dokumentacija glede na dobavitelja
_fbp	Facebook	ClickID
_gcl_aw	Googlovi oglasi	Varnost.Google
__gpi	Googlovi oglasi	Varnost.Google
_gcl_au	Googlovi oglasi	Varnost.Google
NID	Googlovi oglasi	Varnost.Google
IDE	Googlovi oglasi	Varnost.Google
VISITOR_INFO1_LIVE	Google YouTube	Varnost.Google
li_sugr	LinkedIn	Tabela piškotkov
UserMatchHistory	LinkedIn	Tabela piškotkov
_ttp	TikTok	Politika piškotkov

Meer documentatie

# level: endpoint
web_privacy_cookie_products_no_consent

Lastnik spletnega naslova (WHOIS)

Namen: urejanje upravljanja domene. Zunanja oseba lahko preveri, ali spletno mesto pripada pravi organizaciji v SIDN.
Najtežja ocena: Oranžna
Izmerjeno z: Lasten skener
Dokumentacija: SIDN, Wikipedia, OpenCRE
Preverljivo na: SIDN

Meer documentatie

# level: url
whois_domain_ownership

Varna povezava v skladu z zahtevami NCSC-NL (TLS)

Namen: Uporaba šifriranja, merjenje pravnih zahtev
Najtežja ocena:Oranžna
Izmeril: internet.co.uk
Dokumentacija: Zakon, razlaga zakona, tehnične zahteve
Izmeri se npr. na: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_web_tls

Security.txt

Namen: prejemanje obvestil o resnih spletnih ranljivostih.
Najtežja ocena:Oranžna
Izmeril: internet.co.uk
Dokumentacija: internet.co.uk, Wikipedia, securitytxt.org
Izmeri se npr. na: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Zaupanja vredno usmerjanje internetnega prometa (RPKI)

Cilj: zagotovilo, da internetni promet poteka po pravi poti
Najtežja ocena:Oranžna
Izmeril: internet.co.uk
Dokumentacija: Wikipedija
Preverite na: internet.co.uk, ripe

Meer documentatie

# level: endpoint
internet_nl_web_rpki_exists

Glava HSTS

Namen: uveljavljanje šifriranja v spletnih mestih, dokler tega ne storijo brskalniki.
Najtežja ocena:Oranžna
Izmerjeno z: Lasten skener
Dokumentacija: MDN, Wikipedija, Zakon o digitalni vladi
Preverljivo na: securityheaders.com, internet.co.uk, med drugim
Upoštevajte, da se vključitev poddomen in predobremenitev ignorirata, če predobremenitev ni posodobljena in obiskovalec pristane na poddomeni brez glave HSTS.

Meer documentatie

# level: endpoint
http_security_header_strict_transport_security

Obisk spletnega mesta spoštuje zasebnost

Namen: zaupnost obiska, da se po obisku ne oglašuje.
Najtežja ocena:Oranžna
Izmerjeno z: Lasten skener
Dokumentacija: Izgradnja spletnih mest, ki upoštevajo zasebnost, knjižica, Disconnect.me, prepoved Google Analytics
Izmeri se na: Webkoll, Privacycore.org

Meer documentatie

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Odvečne storitve (odprta vrata)

Cilj: čim bolj zmanjšati število spletnih storitev. Javni internet mora vsebovati le storitve, ki morajo biti na voljo vsem po vsem svetu.
Najtežja ocena:Oranžna
Izmerjeno z: Nmap
Dokumentacija: Wikipedija (odprta vrata)
- Preverite: ipvoid

Meer documentatie

# level: endpoint
ports

STARTTLS Prisotnost (e-pošta)

Namen: možnost pošiljanja šifrirane e-pošte v poštni strežnik kot pošiljatelj.
Najtežja ocena:Oranžna
Izmeril: internet.co.uk
Dokumentacija: internet.co.uk
- Izmeri se npr. na: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_starttls_tls_available

Šifriranje e-pošte v skladu z zahtevami NCSC

Namen: možnost pošiljanja šifrirane e-pošte v poštni strežnik kot pošiljatelj.
Najtežja ocena:Oranžna
Izmeril: internet.co.uk
Dokumentacija: internet.co.uk
- Izmeri se npr. na: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_dashboard_tls

Lokacija strežnika (geolokacija IP)

Namen: Obdelava podatkov v NL/EU, merjenje pravnih zahtev. Zagotovite, da so vse storitve na svojem (pravnem) ozemlju.
Najtežja ocena:Zelena (v uvajalnem obdobju),Oranžna po oktobru 2023
Izmerjeno z: Maxmind, Ripe (za nekatere popravke)
Dokumentacija: Zakon o prepovedi obdelave podatkov zunaj EU (Matomo)
Preverljivo na: (vsa ta spletna mesta nimajo iste baze podatkov o geolokaciji ).

Meer documentatie

# level: url
location_server
location_mail_server
location_third_party_website_content

Druge glave spletnega mesta (X-Frame-Options itd.)

Namen: Varne nastavitve pri obisku spletnega mesta
Najtežja ocena:Oranžna (brez CSP IN možnosti x-frame),Zelena (ostalo)
Izmerjeno z: Lasten skener
Dokumentacija: (OWASP), glavo CSP, politiko dovoljenj, politiko preusmerjanja, X-Content-Type-Options, klikanje,
Preverljivo na: securityheaders.com, internet.co.uk, med drugim

Meer documentatie

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)