Målepolitik Basic security.co.uk - Internet Cleanup Foundation

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security måler og offentliggør alle målinger omkring onlinesikkerhed, som det er ansvarligt at offentliggøre, mere om det i offentliggørelsespolitikken. Vi bruger også overvejelserne i vores adfærdskodeks til at afgøre, hvilke målinger der skal tilføjes.

Denne artikel viser, hvilke målinger der er foretaget omkring hvilke teknikker. En komplet liste over disse, med referencer, findes under overskriften “Oversigt over alle målinger”.

Denne målepolitik er altid under udvikling og reagerer på nye udviklinger. Der er en række undtagelser til denne målepolitik; disse er beskrevet i undtagelserne til målepolitikken.

Læs venligst vores ansvarsfraskrivelse, før du bruger måledataene. Hvis du har spørgsmål, bedes du kontakte info@internetcleanup.foundation.

Det fremgår af denne artikel:

Information om målingernes aktualitet
Hvordan målinger vurderes mere stringent over tid (køreplan)
En oversigt over alle individuelle målinger
- Indeholder links til dokumentation og testværktøjer

Målingernes rettidighed

Målinger udføres dagligt til ugentligt, det afhænger af målingernes kompleksitet og intensitet. En enkelt lagermåling udføres en gang hver sjette måned, fordi den er støjende, og gentagelsen af denne måling finder sted en gang om ugen.

På grund af målefrekvensen er data i rapporter normalt aldrig ældre end en uge. Hvis det er tilfældet, sker der noget særligt. Vi arbejder stadig på, at målinger, der er ældre end to måneder, aldrig vises i rapporterne, og på at reducere denne varighed til højst en måned.

Du kan altid se, hvor gammel en måling er i detailrapporten. Det vises i bunden af hver måling. Så i eksemplet nedenfor kan du se, at målingen har været den samme i 22 dage, og at den sidste måling fandt sted for 1 dag siden.

Sidste læsning fra 2 dage siden, dette er i bunden af billedet.

Derudover viser hvert kort kortets datakvalitet. Oversigten viser, hvilke målinger der er foretaget, og hvor mange af dem der er opdaterede/forældede. I denne oversigt betragtes målinger, der er ældre end 7 dage, som forældede. Dette kan også ses i eksemplet nedenfor.

Datakvaliteten ses under kuglen i øverste venstre hjørne af kortet. Kuglen skifter farve afhængigt af kvaliteten. Hvis den er orange eller rød, er der noget galt. Normalt er den på en grøn prik. Hvis alt er opdateret, er der en regnbue her.

Her kan du se, hvilke målinger der er blevet opdateret, og hvilke der ikke er. Normalt er alt grønt her. Skærmbilledet viser, at kvaliteten var 90,29% med 11899 forældede målinger. En bestemt scanner målte ikke, hvilket forårsagede denne uoverensstemmelse.

Køreplan for strammere målinger

Over tid vil der være strengere overvågning. For eksempel er nogle fund i øjeblikket grønne eller orange, men vil blive røde i fremtiden.

En ny måling introduceres ofte som orange eller grøn, så folk kan vænne sig til den og handle, før den bliver rød.

Køreplanen for dette er stadig fragmenteret og ikke fastlagt. Når individuelle målinger introduceres, er der ofte en omtale af dette. Denne information er stadig ved at blive indsamlet.

Oversigt over alle målinger

Her er en oversigt over alle målinger, vurderinger, dokumentation og værktøjer til at måle dig selv. Når alle disse anvendes korrekt, bliver organisationen sat grønt på landkortet.

Hvis en organisation holder øje med sine onlinetjenester og minimerer dem, er det ikke så svært at komme op på orange eller endda grøn.

Sikkert domænenavn (DNSSEC)

Formål: At skabe sikkerhed om domænenavnet og indholdet på webstedet
Tungeste bedømmelse: Rød
Målt med: dnssec.pl tool
Dokumentation: internet.co.uk, OpenCRE, Wikipedia
Kan kontrolleres på: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

Meer documentatie

# level: url
dnssec

TLS på hjemmesiden (HTTPS)

Mål: Anvend kryptering: at et besøg på en hjemmeside er fortroligt og med integritet. Kontroller, at tilliden er i orden, og at der ikke er nogen sårbarheder i krypteringen.
Tungeste bedømmelse:Rød
Målt med: Qualys SSL Labs
Dokumentation: TLS-indstillinger, Wikipedia, lov om digital forvaltning
Skal måles på: SSL Labs

Meer documentatie

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Websted uden kryptering (HTTPS)

Formål: Anvendelse af kryptering, det samme som TLS på hjemmesiden
Tungeste bedømmelse:Rød
Målt med: Egen scanner
Dokumentation: TLS-indstillinger, Wikipedia, lov om digital forvaltning
Skal måles på: SSL Labs, internet.co.uk

Meer documentatie

# level: endpoint
plain_http

Filoverførsel (FTP)

Formål: anvendelse af kryptering
Tungeste bedømmelse:Rød
Målt med: Egen scanner
Dokumentation: Wikipedia
Kan tjekkes på f.eks.: ftptest.net

Meer documentatie

# level: endpoint
ftp

Information om softwareversion (bannere)

Mål: Fjern versionsoplysninger, fordi de kun er nyttige for angribere
Tungeste bedømmelse:Rød
Målt med: nmap
Dokumentation: Wikipedia, nmap
Tjek for: ipvoid

Meer documentatie

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-mail-sikkerhed (STARTTLS, DMARC, DKIM, SPF)

Formål: at sikre e-mailens integritet og fortrolighed
Tungeste bedømmelse:Rød
Målt af: internet.co.uk
Dokumentation: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
Kan tjekkes på: internet.co.uk, dmarcian, mxtoolbox, blandt andre

Meer documentatie

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Login-portaler

Formål: Ikke at tilbyde global og offentlig funktionalitet, der er beregnet til en lille gruppe mennesker, især for at afskærme administratorfunktionalitet.
Tungeste bedømmelse: Rød
Målt med: Kerner
Dokumentation: Wikipedia
For at blive målt på bl.a.: tjek links i resultaterne. Er der en login-portal her? Så er fundet stadig gyldigt. Disse portaler findes på en særlig side, der hedder Login Plaza.

Meer documentatie

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Sporingscookie uden samtykke

Formål: Sporingscookies bør aldrig sættes uden tilladelse. Ved at gøre dette gennemsigtigt kan hjemmesidebyggere fjerne disse cookies.
Tungeste bedømmelse: Orange, rød fra januar 2024.
Målt med: Egen scanner obv Dramatiker
Dokumentation: tbd
Skal måles på: tbd

Oversigt over målte sporingskiks

Vi måler sporingskiksene nedenfor. Det er følgekiks, som leverandøren angiver er placeret til markedsføringsformål. Disse følgekiks er langt de hyppigst placerede følgekiks ifølge vores undersøgelse fra november 2023.

Kiks	Leverandør	Dokumentation i henhold til leverandør
_fbp	Facebook	KlikID
_gcl_aw	Google-annoncer	Sikkerhed.Google
__gpi	Google-annoncer	Sikkerhed.Google
_gcl_au	Google-annoncer	Sikkerhed.Google
NID	Google-annoncer	Sikkerhed.Google
IDE	Google-annoncer	Sikkerhed.Google
BESØGENDE_INFO1_LIVE	Google YouTube	Sikkerhed.Google
li_sugr	LinkedIn	Cookie-tabel
BrugerMatchHistorie	LinkedIn	Cookie-tabel
_ttp	TikTok	Cookie-politik

Meer documentatie

# level: endpoint
web_privacy_cookie_products_no_consent

Ejer af internetadressen (WHOIS)

Formål: At få styr på administrationen af domænet. En udefrakommende kan kontrollere, at sitet tilhører den rigtige organisation på SIDN.
Tungeste bedømmelse: Orange
Målt med: Egen scanner
Dokumentation: SIDN, Wikipedia, OpenCRE
Kan tjekkes på: SIDN

Meer documentatie

# level: url
whois_domain_ownership

Sikker forbindelse i henhold til NCSC-NL-krav (TLS)

Formål: Anvendelse af kryptering, måling af juridiske krav
Tungeste bedømmelse:Orange
Målt af: internet.co.uk
Dokumentation: Lov, fortolkning af loven, tekniske krav
Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_web_tls

Sikkerhed.txt

Formål: At kunne modtage meddelelser om alvorlige online-sårbarheder.
Tungeste bedømmelse:Orange
Målt af: internet.co.uk
Dokumentation: internet.co.uk, Wikipedia, securitytxt.org
Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Tryghedsskabende routing af internettrafik (RPKI)

Mål: Sikring af, at internettrafikken går den rigtige vej
Tungeste bedømmelse:Orange
Målt af: internet.co.uk
Dokumentation: Wikipedia
Kan tjekkes på: internet.co.uk, ripe

Meer documentatie

# level: endpoint
internet_nl_web_rpki_exists

HSTS-overskrift

Formål: Gennemtvinge kryptering på hjemmesider, så længe browsere ikke gør det
Tungeste bedømmelse:Orange
Målt med: Egen scanner
Dokumentation: MDN, Wikipedia, lov om digital forvaltning
Kan tjekkes på: securityheaders.com, internet.co.uk, blandt andre.
Bemærk, at includesubdomains og preload ignoreres, hvis preload ikke er opdateret, og en besøgende lander på et subdomæne uden en HSTS-header.

Meer documentatie

# level: endpoint
http_security_header_strict_transport_security

Besøg på hjemmesiden respekterer privatlivets fred

Formål: Fortrolighed om et besøg, at ingen reklamer er rettet mod dig efter et besøg
Tungeste bedømmelse:Orange
Målt med: Egen scanner
Dokumentation: Hæfte om opbygning af privatlivsbevidste websteder, Disconnect.me, forbud mod Google Analytics
Skal måles på: Webkoll, Privacycore.org

Meer documentatie

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Overflødige tjenester (åbne porte)

Mål: Minimere onlinetjenester. Det offentlige internet skal kun indeholde tjenester, som bør være tilgængelige for alle i hele verden.
Tungeste bedømmelse:Orange
Målt med: Nmap
Dokumentation: Wikipedia (åbne porte)
- Tjek for: ipvoid

Meer documentatie

# level: endpoint
ports

STARTTLS Tilstedeværelse (e-mail)

Formål: at kunne sende krypteret e-mail til mailserveren som afsender.
Tungeste bedømmelse:Orange
Målt af: internet.co.uk
Dokumentation: internet.co.uk
- Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_starttls_tls_available

E-mail-kryptering i henhold til NCSC-krav

Formål: at kunne sende krypteret e-mail til mailserveren som afsender.
Tungeste bedømmelse:Orange
Målt af: internet.co.uk
Dokumentation: internet.co.uk
- Måles på f.eks.: internet.co.uk

Meer documentatie

# level: endpoint
internet_nl_mail_dashboard_tls

Serverens placering (IP Geolocation)

Formål: Behandling af data i NL/EU, måling af juridiske krav. Sikre, at alle tjenester befinder sig i deres eget (lovlige) område.
Tungeste bedømmelse:Grøn (i introduktionsperioden),Orange efter oktober 2023
Målt med: Maxmind, Ripe (til nogle korrektioner)
Dokumentation: Lov om forbud mod databehandling uden for EU (Matomo)
Kan tjekkes på: InfoByIP, geolocation.com, iplocation.io (ikke alle disse sider har den samme geolocation-database)

Meer documentatie

# level: url
location_server
location_mail_server
location_third_party_website_content

Andre webstedsoverskrifter (X-Frame-Options osv.)

Formål: Sikre indstillinger, når du besøger en hjemmeside
Tungeste bedømmelse:Orange (ingen CSP OG x-frame-optioner),grøn (resten)
Målt med: Egen scanner
Dokumentation: Generelt (OWASP), CSP-header, politik for tilladelser, politik for henvisninger, X-Content-Type-Options, Clickjacking,
Kan tjekkes på: securityheaders.com, internet.co.uk, blandt andre.

Meer documentatie

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)