Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.Basic Security mēra un publicē visus ar drošību tiešsaistē saistītos pasākumus, kurus ir atbildīgi publicēt, vairāk par to lasiet publikāciju politikā. Mēs arī izmantojam mūsu rīcības kodeksā minētos apsvērumus, lai noteiktu, kuri mērījumi tiek pievienoti.
Šajā rakstā ir uzskaitīti mērījumi, kas tiek veikti, izmantojot dažādas metodes. Pilns to saraksts ar atsaucēm ir atrodams zem virsraksta “visu mērījumu pārskats”.
Šī mērījumu politika pastāvīgi attīstās un reaģē uz jaunām tendencēm. Šajā mērījumu politikā ir vairāki izņēmumi; tie ir aprakstīti mērījumu politikas izņēmumos.
Pirms mērījumu datu izmantošanas izlasiet mūsu atrunu. Ja jums ir kādi jautājumi, lūdzu, sazinieties ar info@internetcleanup.foundation.
Šajā rakstā teikts:
- Informācija par mērījumu savlaicīgumu
- Kā laika gaitā mērījumi tiek vērtēti stingrāk (ceļvedis).
- Visu individuālo mērījumu pārskats
- Ietver saites uz dokumentāciju un testēšanas rīkiem
Mērījumu savlaicīgums
Mērījumus veic katru dienu vai reizi nedēļā, tas ir atkarīgs no mērījumu sarežģītības un intensitātes. Vienreizēju inventarizācijas mērījumu veic reizi sešos mēnešos, jo tas ir trokšņains, atkārtots mērījums tomēr notiek reizi nedēļā.
Mērījumu biežuma dēļ dati ziņojumos parasti nekad nav vecāki par nedēļu. Ja tas tā ir, tad notiek kaut kas īpašs. Mēs joprojām strādājam pie funkcionalitātes, lai ziņojumos nekad neparādītos mērījumi, kas vecāki par diviem mēnešiem, un samazinām šo ilgumu līdz ne vairāk kā vienam mēnesim.
Detalizētajā pārskatā vienmēr varat redzēt, cik vecs ir mērījums. Tas ir norādīts katra mērījuma apakšā. Tālāk sniegtajā piemērā redzams, ka mērījums ir bijis tāds pats 22 dienas un ka pēdējais mērījums veikts pirms 1 dienas.
Turklāt katrā kartē ir norādīta kartes datu kvalitāte. Šis pārskats parāda, kādi mērījumi ir veikti un cik no tiem ir aktuāli/neaktuāli. Šajā pārskatā mērījumi, kas vecāki par 7 dienām, tiek uzskatīti par novecojušiem. To var redzēt arī turpmāk dotajā piemērā.
Datu kvalitāte ir norādīta zem lodītes kartes augšējā kreisajā stūrī. Šī bumbiņa krāsojas atkarībā no kvalitātes. Ja tā ir oranža vai sarkana, kaut kas nav kārtībā. Parasti tā ir zaļā krāsā. Ja viss ir atjaunināts, šeit ir varavīksne.
Pastiprināšanas mērījumu ceļvedis
Laika gaitā tiks ieviesta stingrāka uzraudzība. Piemēram, daži konstatējumi pašlaik ir zaļi vai oranži, bet nākotnē kļūs sarkani.
Jaunā lasāmviela bieži tiek ieviesta kā oranža vai zaļa, lai cilvēki varētu pierast un rīkoties, pirms tā kļūst sarkana.
Ceļvedis šajā jomā joprojām ir sadrumstalots un nav izstrādāts. Kad tiek ieviesti atsevišķi mērījumi, tas bieži vien tiek pieminēts. Šī informācija joprojām tiek apkopota.
Visu mērījumu pārskats
Šeit ir sniegts pārskats par visiem mērījumiem, novērtējumiem, dokumentāciju un rīkiem, ar kuriem varat sevi izmērīt. Kad tie visi tiek pareizi piemēroti, organizācija tiek iezīmēta zaļā kartē.
Ja organizācija seko līdzi saviem tiešsaistes pakalpojumiem un samazina to apjomu, nav pārāk grūti sasniegt oranžu vai pat zaļu krāsu.
Drošs domēna vārds (DNSSEC)
- Mērķis: Nodrošināt pārliecību par domēna nosaukumu un vietnes saturu.
- Smagākais vērtējums: Sarkanais
- Mērīts ar: dnssec.pl rīks
- Dokumentācija: internet.co.uk, OpenCRE, Wikipedia
- Iespējams pārbaudīt: verisign labs, DNS Visualizer, Zonemaster, internet.co.uk
Meer documentatie
# level: url
dnssecTLS tīmekļa vietnē (HTTPS)
- Mērķis: izmantot šifrēšanu: lai vietnes apmeklējums būtu konfidenciāls un godīgs. Pārbaudīt, vai uzticēšanās ir kārtībā un vai šifrēšanā nav ievainojamību.
- Smagākais vērtējums:Sarkanais
- Mērīts ar: Qualys SSL Labs
- Dokumentācija: TLS iestatījumi, Vikipēdija, Digitālās valdības likums
- Jāveic mērījumi: SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedVietne bez šifrēšanas (HTTPS)
- Mērķis: šifrēšanas piemērošana, tāpat kā TLS tīmekļa vietnē.
- Smagākais vērtējums:Sarkanais
- Mērīts ar: Pašu skeneris
- Dokumentācija: TLS iestatījumi, Vikipēdija, Digitālās valdības likums
- Jāveic mērījumi: SSL Labs, internet.co.uk
Meer documentatie
# level: endpoint
plain_httpFailu pārsūtīšana (FTP)
- Mērķis: šifrēšanas izmantošana
- Smagākais vērtējums:Sarkanais
- Mērīts ar: Pašu skeneris
- Dokumentācija: Vikipēdija
- Pārbaudāms, piemēram, vietnē: ftptest.net
Meer documentatie
# level: endpoint
ftpProgrammatūras versijas informācija (baneri)
- Mērķis: noņemt informāciju par versiju, jo tā ir noderīga tikai uzbrucējiem.
- Smagākais vērtējums:Sarkanais
- Mērīts ar: nmap
- Dokumentācija: Vikipēdija, nmap
- Pārbaudiet, vai: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)E-pasta drošība (STARTTLS, DMARC, DKIM, SPF)
- Mērķis: nodrošināt e-pasta integritāti un konfidencialitāti.
- Smagākais vērtējums:Sarkanais
- Izmērīja: internet.co.uk
- Dokumentācija: Vikipēdija (STARTTLS), Vikipēdija (DKIM), Vikipēdija (DMARC), Vikipēdija (SPF)
- Pārbaudāms: internet.co.uk, dmarcian, mxtoolbox, cita starpā.
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Pieteikšanās portāli
- Mērķis: nenodrošināt globālu un publiski pieejamu funkcionalitāti, kas paredzēta nelielai cilvēku grupai, jo īpaši administratora funkcionalitātes aizsegšanai.
- Smagākais vērtējums: Sarkanais
- Mērīts ar: Nukleji
- Dokumentācija: Vikipēdija
- Jāveic mērījumi par o.a.: pārbaudiet saitēs, kas iekļautas secinājumos. Vai šeit ir pieteikšanās portāls? Tad secinājums joprojām ir spēkā. Šie portāli atrodas īpašā lapā ar nosaukumu Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Izsekošanas sīkfails bez piekrišanas
- Mērķis: Izsekošanas sīkfailus nekad nedrīkst iestatīt bez atļaujas. Nodrošinot pārredzamību, tīmekļa vietņu veidotāji var noņemt šīs sīkdatnes.
- Smagākais novērtējums: oranžā krāsā, Sarkans no 2024. gada janvāra.
- Mērīts ar: Pašu skeneris obv Dramaturgs
- Dokumentācija: tbd
- Tiks mērīts: tbd
Pārskats par izmērītajiem cepumu izsekošanas cepumiem
Tālāk mēs izmērām sekošanas cepumus. Tie ir sekotāju cepumi, par kuriem piegādātājs norāda, ka tie izvietoti mārketinga nolūkos. Saskaņā ar mūsu 2023. gada novembra apsekojumu šie sekotāju cepumi ir visbiežāk izvietotie sekotāju cepumi.
| Biskvīts | Piegādātājs | Dokumentācija saskaņā ar piegādātāju |
| _fbp | ClickID | |
| _gcl_aw | Google reklāmas | Drošība.Google |
| __gpi | Google reklāmas | Drošība.Google |
| _gcl_au | Google reklāmas | Drošība.Google |
| NID | Google reklāmas | Drošība.Google |
| IDE | Google reklāmas | Drošība.Google |
| VISITOR_INFO1_LIVE | Google YouTube | Drošība.Google |
| li_sugr | Sīkfailu tabula | |
| UserMatchHistory | Sīkfailu tabula | |
| _ttp | TikTok | Sīkfailu politika |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentInterneta adreses īpašnieks (WHOIS)
- Mērķis: sakārtot domēna administrēšanu. Neatkarīga persona var pārbaudīt, vai vietne pieder pareizai SIDN organizācijai.
- Smagākais vērtējums: Apelsīns
- Mērīts ar: Pašu skeneris
- Dokumentācija: SIDN, Wikipedia, OpenCRE
- Iespējams pārbaudīt: SIDN
Meer documentatie
# level: url
whois_domain_ownershipDrošs savienojums saskaņā ar NCSC-NL prasībām (TLS)
- Mērķis: Šifrēšanas piemērošana, juridisko prasību mērīšana
- Smagākais vērtējums:Apelsīns
- Izmērīja: internet.co.uk
- Dokumentācija: Likums, Likuma interpretācija, Tehniskās prasības
- Mērāms, piemēram, vietnē: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_web_tlsSecurity.txt
- Mērķis: Lai varētu saņemt paziņojumus par nopietnām tiešsaistes ievainojamībām.
- Smagākais vērtējums:Apelsīns
- Izmērīja: internet.co.uk
- Dokumentācija: internet.co.uk, Wikipedia, securitytxt.org
- Mērāms, piemēram, vietnē: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtInterneta datplūsmas uzticama maršrutēšana (RPKI)
- Mērķis: Nodrošināt, ka interneta datplūsma iet pa pareizo ceļu.
- Smagākais vērtējums:Apelsīns
- Izmērīja: internet.co.uk
- Dokumentācija: Vikipēdija
- Iespējams pārbaudīt: internet.co.uk, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsHSTS galvene
- Mērķis: nodrošināt šifrēšanu vietnēs, kamēr to nedara pārlūkprogrammas.
- Smagākais vērtējums:Apelsīns
- Mērīts ar: Pašu skeneris
- Dokumentācija: MDN, Vikipēdija, Digitālās valdības likums
- Iespējams pārbaudīt: securityheaders.com, internet.co.uk u.c.
- Ņemiet vērā, ka includesubdomains un preload tiek ignorēts, ja preload netiek atjaunināts un apmeklētājs nokļūst apakšdomēnā bez HSTS galvenes.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityTīmekļa vietnes apmeklējums respektē privātumu
- Mērķis: apmeklējuma konfidencialitāte, lai pēc apmeklējuma jums netiktu adresēta nekāda reklāma.
- Smagākais vērtējums:Apelsīns
- Mērīts ar: Pašu skeneris
- Dokumentācija: Konfidencialitāti nodrošinošu vietņu izveides buklets, Disconnect.me, Google Analytics aizliegums
- Jāveic mērījumi: Webkoll, Privacycore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingPārpalikušie pakalpojumi (atvērtie vārti)
- Mērķis: Minimizēt tiešsaistes pakalpojumus. Publiskajā internetā jāiekļauj tikai tādi pakalpojumi, kuriem jābūt pieejamiem ikvienam visā pasaulē.
- Smagākais vērtējums:Apelsīns
- Mērīts ar: Nmap
- Dokumentācija: Vikipēdija (atvērtie vārti)
- Pārbaudiet: ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS klātbūtne (e-pasts)
- Mērķis: iespēja sūtīt šifrētu e-pastu uz pasta serveri kā sūtītājam.
- Smagākais vērtējums:Apelsīns
- Izmērīja: internet.co.uk
- Dokumentācija: internet.co.uk
- Mērāms, piemēram, vietnē: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableE-pasta šifrēšana saskaņā ar NCSC prasībām
- Mērķis: iespēja sūtīt šifrētu e-pastu uz pasta serveri kā sūtītājam.
- Smagākais vērtējums:Apelsīns
- Izmērīja: internet.co.uk
- Dokumentācija: internet.co.uk
- Mērāms, piemēram, vietnē: internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsServera atrašanās vieta (IP ģeogrāfiskā atrašanās vieta)
- Mērķis: Datu apstrāde NL/ES, pasākumu juridiskās prasības. Nodrošināt, ka visi pakalpojumi atrodas savā (juridiskajā) teritorijā.
- Smagākais vērtējums:Zaļā (iepazīšanās periodā),Oranža: pēc 2023. gada oktobra
- Mērīts ar: Maxmind, Ripe (dažām korekcijām)
- Dokumentācija: Likums par datu apstrādes aizliegumu ārpus ES (Matomo)
- Iespējams pārbaudīt: InfoByIP, geolocation.com, iplocation.io (ne visās šajās vietnēs ir vienāda ģeolokācijas datu bāze).
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentCitas vietnes galvenes (X-Frame-Options u.c.)
- Mērķis: Drošu iestatījumu nodrošināšana, apmeklējot vietni
- Smagākais vērtējums:Apelsīns (nav CSP UN x-frame opcijas),Zaļa (pārējais)
- Mērīts ar: Pašu skeneris
- Dokumentācija: Vispārīgi (OWASP), CSP galvene, Atļauju politika, Referrer politika, X-Content-Type-Options, Clickjacking,
- Iespējams pārbaudīt: securityheaders.com, internet.co.uk u.c.
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)