Mérési politika Basic security.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Az alapvető biztonsági intézkedések és az online biztonság körüli összes olyan mérést közzéteszi, amelyekért felelősek a közzétételért, erről bővebben a közzétételi szabályzatban olvashat. A magatartási kódexünkben foglalt megfontolások alapján határozzuk meg azt is, hogy mely méréseket adjuk hozzá.

Ez a cikk felsorolja, hogy mely mérések milyen technikák körül készülnek. Ezek teljes listája, hivatkozásokkal együtt, az „összes mérés áttekintése” címszó alatt található.

Ez a mérési politika folyamatosan fejlődik és reagál az új fejleményekre. A mérési politika alól számos kivétel van; ezek leírása a mérési politika alóli kivételeknél található.

A mérési adatok felhasználása előtt kérjük, olvassa el nyilatkozatunkat. Ha bármilyen kérdése van, kérjük, forduljon a info@internetcleanup.foundation címre.

Ez a cikk megállapítja:

• A mérések időszerűségére vonatkozó információk
• Hogyan értékelik a méréseket idővel szigorúbban (ütemterv)?
• Az összes egyedi mérés áttekintése
  • Tartalmazza a dokumentáció és a teszteszközök linkjeit

A mérések időszerűsége

A méréseket naponta vagy hetente végzik, ez a mérések összetettségétől és intenzitásától függ. Egyszeri leltármérést félévente egyszer végeznek, mert az zajos, az ismétlődő mérésre viszont hetente egyszer kerül sor.

A mérések gyakorisága miatt a jelentésekben szereplő adatok általában nem régebbiek egy hétnél. Ha mégis, akkor valami különleges dolog történik. Még dolgozunk azon a funkcionalitáson, hogy a két hónapnál régebbi mérések soha ne jelenjenek meg a jelentésekben, és ezt az időtartamot legfeljebb egy hónapra csökkentsük.

A részletes jelentésben mindig láthatja, hogy egy mérés milyen régi. Ez minden egyes mérés alján látható. Így az alábbi példában látható, hogy a mérés 22 napja ugyanaz, és hogy az utolsó mérés 1 nappal ezelőtt történt.

Ezenkívül minden térképen látható a térkép adatminősége is. Ez az áttekintés megmutatja, hogy milyen mérések történtek, és ezek közül mennyi az aktuális / elavult. Ebben az áttekintésben a 7 napnál régebbi mérések elavultnak minősülnek. Ez az alábbi példában is látható.

Az adatminőséget a térkép bal felső sarkában található golyószó alatt találja. Ez a gömb a minőségtől függően színes. Ha narancssárga vagy piros, akkor valami nincs rendben. Általában egy zöld ponton van. Ha minden naprakész, akkor itt egy szivárvány van.

A szigorítási mérések ütemterve

Idővel szigorúbb ellenőrzésre kerül sor. Például egyes megállapítások jelenleg zöld vagy narancssárga színűek, de a jövőben piros színűvé válnak.

Egy új olvasatot gyakran narancssárga vagy zöld színnel vezetnek be, hogy az emberek megszokhassák ezt, és cselekedhessenek, mielőtt pirosra váltana.

Ennek ütemterve még mindig töredékes és nem állt össze. Az egyes mérések bevezetésekor gyakran tesznek említést erről. Ezeknek az információknak az összegyűjtése még folyamatban van.

Az összes mérés áttekintése

Íme egy áttekintés az összes mérésről, értékelésről, dokumentációról és eszközről, amellyel megmérheti magát. Ha mindezeket helyesen alkalmazzák, a szervezet zöld utat kap a térképen.

Ha egy szervezet nyomon követi az online szolgáltatásait, és minimalizálja azokat, nem túl nehéz narancssárga vagy akár zöld színűvé válni.

Biztonságos domain név (DNSSEC)

• Cél: Bizonyosságot nyújtani a domain névvel és a webhely tartalmával kapcsolatban.
• Legnagyobb értékelés: Red
• A következő eszközzel mérve: dnssec.pl tool
• Dokumentáció: internet.co.uk, OpenCRE, Wikipedia
• Ellenőrizhető: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS a weboldalon (HTTPS)

• Cél: Alkalmazza a titkosítást: hogy a weboldal látogatása bizalmas és sértetlen legyen. Ellenőrizze, hogy a bizalom rendben van-e, és nincsenek-e sebezhető pontok a titkosításban.
• Legnagyobb értékelés:Red
• Mérve: Qualys SSL Labs
• Dokumentáció: Wikipedia, Digitális kormányzati törvény
• Mérendő: SSL Labs

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Titkosítás nélküli webhely (HTTPS)

• Cél: A titkosítás alkalmazása, ugyanaz, mint a TLS a weboldalon.
• Legnagyobb értékelés:Red
• Mérve: Saját szkenner
• Dokumentáció: Wikipedia, Digitális kormányzati törvény
• Mérendő: SSL Labs, internet.co.uk

# level: endpoint
plain_http

Fájlátvitel (FTP)

• Cél: a titkosítás alkalmazása
• Legnagyobb értékelés:Red
• Mérve: Saját szkenner
• Dokumentáció: Wikipedia
• Ellenőrizhető pl. a következő címen: ftptest.net

# level: endpoint
ftp

Szoftver verzió információ (Bannerek)

• Cél: a verzióinformáció eltávolítása, mivel az csak a támadók számára hasznos
• Legnagyobb értékelés:Red
• A következővel mérve: nmap
• Dokumentáció: Wikipedia, nmap
• Ellenőrizze: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-mail biztonság (STARTTLS, DMARC, DKIM, SPF)

• Cél: Az e-mail integritásának és titkosságának biztosítása.
• Legnagyobb értékelés:Red
• Mérte: internet.co.uk
• Dokumentáció: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Ellenőrizhető többek között a következő oldalakon: internet.co.uk, dmarcian, mxtoolbox

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Bejelentkezési portálok

• Cél: Nem globális és nyilvános funkciók biztosítása, amelyeket egy kis csoportnak szánnak, különösen nem a rendszergazdai funkciók leárnyékolása.
• Legnagyobb értékelés: Red
• Mérve: Nuklei
• Dokumentáció: Wikipedia
• Mérendő o.a.: ellenőrizze a linkeket a megállapításokban. Van itt egy bejelentkezési portál? Akkor a megállapítás még mindig érvényes. Ezek a portálok a Login Plaza nevű külön oldalon találhatók.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Nyomkövető süti hozzájárulás nélkül

• Cél: A nyomkövető cookie-kat soha nem szabad engedély nélkül beállítani. Ennek átláthatóvá tételével a weboldal-építők eltávolíthatják ezeket a cookie-kat.
• Legsúlyosabb minősítés: narancssárga, Piros 2024 januárjától.
• Mérve: Drámaíró
• Dokumentáció: tbd
• Mérendő: tbd

Áttekintés mért nyomkövető kekszek

A nyomkövető kekszeket az alábbiakban mérjük. Ezek olyan követő kekszek, amelyeket a szállító jelzése szerint marketing céllal helyeztek el. Ezek a követő kekszek a 2023. novemberi felmérésünk szerint messze a leggyakrabban elhelyezett követő kekszek.

# level: endpoint
web_privacy_cookie_products_no_consent

Az internetcím tulajdonosa (WHOIS)

• Cél: A domain adminisztrációjának rendbetétele. Egy kívülálló ellenőrizheti, hogy a webhely a megfelelő szervezethez tartozik-e a SIDN-nél.
• Legnagyobb értékelés: Narancs
• Mérve: Saját szkenner
• Dokumentáció: SIDN, Wikipedia, OpenCRE
• Ellenőrizhető: SIDN

# level: url
whois_domain_ownership

Biztonságos kapcsolat az NCSC-NL követelményeinek megfelelően (TLS)

• Cél: a titkosítás alkalmazása, a jogi követelmények mérése
• Legnagyobb értékelés:Narancs
• Mérte: internet.co.uk
• Dokumentáció: Törvény, jogértelmezés, technikai követelmények
• Mérendő pl.: internet.co.uk

# level: endpoint
internet_nl_web_tls

Security.txt

• Cél: Értesítést kapni a súlyos online sebezhetőségekről.
• Legnagyobb értékelés:Narancs
• Mérte: internet.co.uk
• Dokumentáció: internet.co.uk, Wikipedia, securitytxt.org
• Mérendő például a következő címen: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Az internetes forgalom megbízható útválasztása (RPKI)

• Cél: annak biztosítása, hogy az internetes forgalom a megfelelő útvonalon haladjon át.
• Legnagyobb értékelés:Narancs
• Mérte: internet.co.uk
• Dokumentáció: Wikipedia
• Ellenőrizhető a következő címen: internet.co.uk, érett

# level: endpoint
internet_nl_web_rpki_exists

HSTS fejléc

• Cél: A titkosítás kikényszerítése a weboldalakon, amíg a böngészők nem teszik ezt meg.
• Legnagyobb értékelés:Narancs
• Mérve: Saját szkenner
• Dokumentáció: MDN, Wikipedia, Digitális kormányzati törvény
• Ellenőrizhető többek között a következő címen: securityheaders.com, internet.co.uk
• Vegye figyelembe, hogy az includesubdomains és a preload figyelmen kívül marad, ha a preload nem frissül, és a látogató egy HSTS fejléc nélküli aldomainre érkezik.

# level: endpoint
http_security_header_strict_transport_security

A weboldal látogatása tiszteletben tartja az adatvédelmet

• Cél: A látogatás bizalmas jellege, hogy a látogatás után ne küldjenek Önnek reklámokat.
• Legnagyobb értékelés:Narancs
• Mérve: Saját szkenner
• Dokumentáció: Disconnect.me, Google Analytics tilalom: Adatvédelmi tudatos oldalak építése, füzet, Disconnect.me, Google Analytics ban
• Mérendő: Adatvédelem: Webkoll, Privacycore.org: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Redundáns szolgáltatások (nyitott kapuk)

• Cél: Az online szolgáltatások minimalizálása. A nyilvános internetnek csak olyan szolgáltatásokat kell tartalmaznia, amelyeknek világszerte mindenki számára elérhetőnek kell lenniük.
• Legnagyobb értékelés:Narancs
• Mérve: Nmap
• Dokumentáció: Wikipedia (nyitott kapuk)
  • Ellenőrizze: ipvoid

# level: endpoint
ports

STARTTLS Jelenlét (e-mail)

• Cél: titkosított e-mailek küldése a levelezőszerverre feladóként.
• Legnagyobb értékelés:Narancs
• Mérte: internet.co.uk
• Dokumentáció: internet.co.uk
  • Mérendő például a következő címen: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

E-mail titkosítás az NCSC követelményeinek megfelelően

• Cél: titkosított e-mailek küldése a levelezőszerverre feladóként.
• Legnagyobb értékelés:Narancs
• Mérte: internet.co.uk
• Dokumentáció: internet.co.uk
  • Mérendő például a következő címen: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

A kiszolgáló helye (IP geolokáció)

• Cél: Adatkezelés NL/EU-ban, jogi követelmények mérése. Biztosítani, hogy minden szolgáltatás a saját (jogi) területén legyen.
• Legnagyobb értékelés:Zöld (a bevezető időszakban),Narancssárga 2023 októbere után
• Mérve: Maxmind, Ripe (néhány korrekcióhoz)
• Dokumentáció: Törvény az EU-n kívüli adatfeldolgozás tilalmáról (Matomo)
• Ellenőrizhető: iplocation.io (nem mindegyik oldal rendelkezik ugyanazzal a geolokációs adatbázissal).

# level: url
location_server
location_mail_server
location_third_party_website_content

Egyéb weboldal fejlécek (X-Frame-Options stb.)

• Cél: Biztonságos beállítások weboldal látogatásakor
• Legnagyobb értékelés:Narancs (nincs CSP ÉS x-frame-opció),Zöld (többi)
• Mérve: Saját szkenner
• Dokumentáció: (OWASP), CSP header, Permissions Policy, Referrer Policy, X-Content-Type-Options, Clickjacking,
• Ellenőrizhető többek között a következő címen: securityheaders.com, internet.co.uk

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)